Discussion :

[Stéphane le calme]

Apple refuse de rendre à des victimes de vol d'iPhone l'accès à des années de données personnelles à cause de politiques de récupération rigides,
certaines poursuivent l'entreprise en justice

Un iPhone perdu ou volé est déjà une épreuve. Mais pour de plus en plus d’utilisateurs, le cauchemar ne s’arrête pas au vol de l’appareil lui-même. Ils découvrent avec effroi qu’ils ont également perdu l’accès à toute leur vie numérique : photos, messages, documents, souvenirs... tout ce que contenait leur compte iCloud. Et face à cela, Apple reste inflexible, même lorsque les victimes prouvent leur identité. Ce verrouillage impitoyable d’un écosystème conçu pour la sécurité pose une question vertigineuse : la technologie nous protège-t-elle ou nous emprisonne-t-elle ?

De son côté, Apple affirme prendre au sérieux la sécurité de ses utilisateurs et a introduit des fonctionnalités comme la « Protection en cas de vol de l’appareil » pour renforcer la protection des données. Cependant, cette fonction, lancée en janvier 2024, n'est pas activée par défaut et reste méconnue de nombreux utilisateurs.

Une sécurité à double tranchant : le verrouillage des identifiants Apple

Apple est réputée pour la robustesse de ses systèmes de sécurité. L’identifiant Apple, couplé à l’activation de l’authentification à deux facteurs, rend un iPhone inutilisable par un tiers, même après un vol. C’est un argument marketing clé : un iPhone volé devient « une brique », inutilisable, non revendable.

Mais cette stratégie a une conséquence inattendue. Des voleurs, de plus en plus habiles, profitent d’astuces sociales pour convaincre ou forcer leurs victimes à déverrouiller leurs téléphones, changer les mots de passe, puis activent un « code de récupération » unique. Une fois cela fait, même la vraie propriétaire ne peut plus accéder à son propre compte. Apple, en l'absence du fameux code, refuse toute aide.

Certaines victimes poursuivent Apple en justice pour récupérer des années de données personnelles

À la fin de l'année 2023, Robin Davis a quitté son domicile dans le nord-ouest du Pacifique pour passer un week-end à New York - et elle a prévu d'en profiter au maximum.

Elle a prévu de retrouver une amie très chère pour dîner, puis de se rendre dans une boîte de nuit de trois étages dans le Lower East Side pour boire et danser lors d'une soirée sur le thème des années 80. Ensuite, elles se rendaient dans un hôtel de charme de SoHo, où elles échangeaient des histoires et faisaient la grasse matinée. Tout était réuni pour passer une nuit parfaite à New York - jusqu'à ce que, selon Mme Davis, un voleur se fasse passer pour un employé du club en la droguant, en glanant le code d'accès de son iPhone et en le lui arrachant des mains alors qu'elle montait à bord d'un Uber.

Comme si la frénésie d'achats à laquelle s'est livré le voleur avec les cartes de crédit qu'il avait conservées ne suffisait pas, Mme Davis n'a jamais retrouvé l'accès aux fichiers essentiels - contacts, photos de son mariage, données relatives au travail « et autres informations essentielles » - associés à son compte Apple. Ce n'est pas seulement à cause des personnes qui ont volé son téléphone. C'est aussi parce qu'Apple ne veut pas le lui rendre.

« En tant que cadre commercial de carrière, il s'agit d'un désastre qui va changer ma vie », a-t-elle écrit dans une lettre adressée à Jeff Williams, directeur de l'exploitation d'Apple.

Apple, l'une des entreprises aux plus grosses capitalisation boursière au monde (avec une capitalisation boursière de près de 3 000 milliards de dollars), affirme son engagement inébranlable à protéger la vie privée et les données des utilisateurs, une position à laquelle elle s'est tenue même face aux pressions exercées par les forces de l'ordre. Cependant, certaines personnes qui se sont fait voler leur iPhone découvrent que les outils de sécurité d'Apple, censés les protéger, sont parfois utilisés contre elles. Lorsque des iPhones sont volés, des voleurs avisés peuvent verrouiller l'accès des propriétaires à leurs comptes Apple, ce qui rend difficile la récupération de photos et de fichiers précieux. Aujourd'hui, un procès en Californie donne à certaines de ces victimes l'espoir de retrouver leur vie numérique.

Michael Mathews, 53 ans, poursuit Apple en justice, demandant l'accès à 2 téraoctets de données qui constituent sa « vie numérique entière, y compris celle de sa famille », ainsi qu'au moins 5 millions de dollars de dommages et intérêts, selon un document déposé en janvier auprès du tribunal de district des États-Unis pour le district nord de la Californie.

Son iPhone a été volé quelques semaines après celui de Davis, à Scottsdale, en Arizona, où des pickpockets ont pris pour cible le dirigeant d'une entreprise technologique du Minnesota et se sont emparés de son téléphone. Il a perdu l'accès à ses photos, à sa musique, à ses déclarations d'impôts et à ses recherches liées à son travail, selon les documents du tribunal. Sa société de conseil en technologie a dû fermer complètement ses portes, affirme-t-il dans le procès.

« Même si Mathews est en mesure de fournir des preuves substantielles et incontestables que les comptes et les données de ses comptes Apple sont les siens, Apple refuse néanmoins de réinitialiser la clé de récupération ou de permettre à Mathews d'accéder à ses comptes et à ses données », indique la plainte. « Ce faisant, Apple perpétue et aide les pirates dans leur activité criminelle.

Apple s'est refusé de commenter l'affaire judiciaire de Mathews, se contentant de déclarer : « Nous compatissons avec les personnes qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre nos utilisateurs, aussi rares soient-elles ».

« Ce qui est indéfendable, c'est qu'Apple conserve des données qui ne lui appartiennent pas », a déclaré K. Jon Breyer, l'avocat de Mathews, lors d'une interview. « C'est une question à laquelle Apple refuse toujours de répondre. Sur quelle base pouvez-vous conserver les données de vos utilisateurs et ne pas les restituer ? »

Pour l'instant, l'attente d'une solution se poursuit. Breyer a déclaré que l'affaire entrait tout juste dans la phase de découverte, un processus de collecte de preuves avant le procès qui, selon lui, devrait durer au moins six à huit mois.

Les outils de sécurité d'Apple détournés

Les iPhones sont des cibles de grande valeur, et les voleurs ont appris qu'ils peuvent en tirer plus de valeur s'ils apprennent les codes de passe de leurs victimes - comme ils l'ont fait avec Davis.

Une fois l'iPhone volé déverrouillé, l'étape suivante consiste souvent à modifier le mot de passe lié à l'identifiant Apple de l'utilisateur, afin de le rendre plus difficile à localiser. Et si le voleur est minutieux, il peut créer une « clé de récupération » : un code aléatoire de 28 caractères destiné à aider les utilisateurs à reprendre le contrôle de leur compte Apple au cas où d'autres personnes s'en empareraient.

La création d'une clé de récupération désactive le processus habituel de récupération de compte de l'entreprise. Problème : il est très facile pour un voleur de créer une clé de récupération - ou de remplacer celle que vous avez déjà créée - s'il connaît le code d'accès de la personne. Une fois qu'un iPhone dispose d'une nouvelle clé de récupération, quel qu'en soit l'auteur, Apple indique que « votre compte sera verrouillé de manière permanente ».

« Ce que nous avons appris, c'est qu'Apple n'a pas examiné en profondeur le modèle de menace d'une personne ayant un accès physique à votre appareil », a déclaré Thorin Klosowski, militant pour la protection de la vie privée à l'organisation à but non lucratif Electronic Frontier Foundation.

Une fois l'accès verrouillé, toutes les données du compte (photos, notes, mémos vocaux, etc.) sont conservées, chiffrées sur le cloud. Dans certains cas, Apple détient une copie des clés nécessaires au déchiffrement de ces fichiers, juste au cas où.

Il existe une exception : Si un utilisateur ou un voleur a activé une fonction appelée Advanced Data Protection (Protection avancée des données), toutes ces données sont entièrement verrouillées et même Apple n'y a pas accès. Mais dans les cas où ce chiffrement avancé n'est pas utilisé, comme dans le cas de Mathews, Apple n'est pas paralysé par des limitations techniques ; il choisit de ne pas restituer les données des utilisateurs, affirment les experts.

Apple « ne nous a jamais dit qu'elle n'était pas en mesure de restituer les informations », a déclaré Breyer.

Tous les voleurs ne vont pas aussi loin, et ils peuvent se contenter de changer le mot de passe du compte Apple, mais le système standard de récupération de compte d'Apple ne peut pas toujours les aider. L'entreprise recommande aux victimes d'éteindre tous les autres appareils liés à ce compte Apple pendant la procédure de récupération. Si le compte est utilisé, même par des voleurs, la demande de récupération du compte « sera automatiquement annulée », précise l'entreprise.

Une réponse d'Apple jugée insuffisante

De son côté, Apple affirme travailler « sans relâche chaque jour pour protéger les comptes et les données de nos utilisateurs, et pour introduire des protections supplémentaires telles que la « Protection en cas de vol de l’appareil », qui aide à protéger vos comptes et vos informations personnelles en cas de vol de votre iPhone ».

La protection contre les appareils volés complique la tâche des voleurs en exigeant un scan Face ID ou Touch ID pour accéder aux mots de passe et aux cartes de crédit, et en retardant les changements de mot de passe des comptes Apple.

Mais de nombreux utilisateurs ne savent pas qu'elle existe. La protection contre les appareils volés a été intégrée à iOS et publiée en janvier 2024, mais elle n'est pas activée par défaut et n'est pas toujours mise en évidence lors du processus de configuration de l'iPhone.

À moins que vous ne preniez les bonnes précautions, un voleur expérimenté peut facilement verrouiller les utilisateurs de leurs comptes Apple - mais certains experts en sécurité affirment qu'il est possible de résoudre le problème de la restauration de ces comptes.

« Vous devez fournir un certain nombre d'informations pour ouvrir un compte Apple, et les gens pourraient être obligés de fournir des éléments tels que des rapports de police pour prouver qu'ils ont signalé le vol de leur téléphone », a déclaré Lorrie Cranor, directeur du CyLab Security and Privacy Institute de l'université Carnegie Mellon. « Je trouve étrange qu'Apple s'oppose à cette mesure sans expliquer son raisonnement ».

Sources : Apple (1, 2), plainte

Et vous ?

Sur quel OS mobile êtes-vous ? Comment protégez-vous vos données ? Si vous êtes sur iOS, connaissiez-vous la « Protection en cas de vol de l’appareil » ?

Jusqu'où une entreprise comme Apple doit-elle aller pour protéger les données d’un utilisateur sans en bloquer l’accès en cas de vol ?

Les personnes âgées ou moins technophiles sont-elles injustement pénalisées par ce type de verrouillage ultra-sécurisé ?

Est-il justifié de refuser toute récupération d’un compte si la clé de récupération est perdue, même avec preuves d’identité officielles ?

Apple peut-elle être tenue juridiquement responsable de la perte d’accès aux données personnelles si elle refuse de coopérer ?

Le design des outils de sécurité d’Apple (ex : clé de récupération, code PIN, iCloud) est-il trop rigide ou mal pensé pour les cas extrêmes comme le vol de téléphone ?

Apple devrait-elle repenser ses politiques de récupération pour les rendre plus humaines, quitte à affaiblir légèrement la sécurité ?

Qui doit trancher quand sécurité et droit à l'accès s'opposent : l’entreprise, les tribunaux ou des organismes indépendants ?