Apple vs FBI : quel avenir pour le chiffrement ?

Apple dénonce depuis quelques semaines un jugement de la cour américaine qui pourrait le forcer à donner au FBI un accès via porte dérobée à chaque iPhone.

Il y a déjà plusieurs semaines, Apple a publié une lettre à l'intention de ses clients, protestant contre un jugement de la cour américaine qui pourrait forcer l'entreprise à donner au FBI un accès par porte dérobée à chaque iPhone. Le dossier a depuis relancé le débat sur l'accès du gouvernement aux données personnelles et la protection des libertés civiles. Il a également incité la société et l'industrie à examiner de plus près la mécanique du chiffrement des données.

À la base, le chiffrement fournit une couche de protection aux données, à toutes les étapes de leur voyage, de l'expéditeur au destinataire. Si quelqu'un essaie d'intercepter des données ou d'y accéder sans autorisation, il se retrouve avec un écran rempli de charabia inintelligible. Mais le chiffrement n'est efficace que si la chaîne ne comporte aucun maillon faible. Or, Apple affirme que le jugement du tribunal concernant la demande d'accès du FBI à son système d'exploitation forcerait l'entreprise à créer un maillon faible dans son chiffrement. Cela accélérerait sans aucun doute les enquêtes sur les crimes les plus graves, mais à quel prix pour les millions d'utilisateurs d'iPhone respectant les lois ? Ce nouvel accès dérobé deviendrait très vite une cible pour les pirates et les cybercriminels.

Nous savons d'expérience que le monde regorge de passionnés d’informatique qui seraient ravis de trouver une clé par eux-mêmes - juste pour le plaisir. Mais il existe également une foule de personnes peu recommandables aux motivations douteuses, impatientes d'enfoncer toute porte dérobée qu'Apple pourrait créer. Malheureusement, en dépit des meilleures intentions et de tous les efforts d'Apple et du FBI, ces deux catégories de personnes réussiraient sans aucun doute à déchiffrer le code — et à accéder aux données personnelles stockées sur les iPhone — comme les comptes bancaires, les dossiers de santé et même les informations sur les lieux fréquentés. C'est une opinion que partage le membre du Congrès de Californie Zoe Lofgren : « Une fois que vous avez des failles dans le chiffrement, ce n'est plus une question de si, mais de quand ces failles seront exploitées et à quel moment tout ce que vous pensiez protégé sera révélé. »

Apple soutient que le meilleur moyen de se protéger contre les pirates et d'assurer la sécurité des données sur les iPhones consiste à résister à la tentation d'intégrer une porte dérobée. La position de l'entreprise est qu'en matière de chiffrement, c'est tout ou rien. On ne peut pas chiffrer « en partie » les données et espérer obtenir une sécurité à 100 %. Tim Cook, le PDG d'Apple, a déclaré publiquement : « ... une porte dérobée “réservée aux gentils”, ça n'existe pas. ». Et, selon Reuters, le coordinateur de la cybersécurité pour la Maison-Blanche, Michael Daniel a également admis qu'il ne connaissait personne, dans la communauté de la sécurité, d'avis qu'une porte dérobée ne compromettrait pas le chiffrement.

Ce type de débat sur le chiffrement informatique, la protection des données personnelles et la défense de la sécurité nationale n'est pas nouveau et dépasse les frontières américaines, puisque de telles discussions existent également en France. Une conversation du même genre avait eu lieu à l'ère Clinton sur ce qu'on a appelé la « puce Clipper ». La puce Clipper était une micropuce chiffrant les données, mais donnant aussi au gouvernement un accès aux clés nécessaires pour les déchiffrer. La puce a rencontré la désapprobation du public et n'a jamais été adoptée.

Le débat actuel entre Apple et le FBI se poursuit. Un juge de New York a décidé que le gouvernement américain ne pouvait pas utiliser la loi All Writs Act pour obliger Apple à créer la porte dérobée demandée par le FBI. Et le jour d'après, le débat s'est invité au comité House Judiciary Committee, où James Comey, le directeur du FBI, a librement admis qu'il s'agissait de la question la plus difficile à laquelle il n’ait jamais eu affaire — laissant entendre que la résolution du dossier est bien plus complexe que ce que certains journaux voudraient nous faire croire.

On peut affirmer sans exagération que ce débat pourrait aussi avoir un impact majeur sur la façon dont les États-Unis mènent leurs affaires internationales. De fait, la question continue de soulever des préoccupations dans le monde sur la sécurité des données d'entreprise qui sont stockées par les entreprises américaines (soit aux États-Unis, soit par des entreprises américaines opérant à l'étranger) ou sur les équipements développés par des entreprises américaines. Il est probable qu'elle continuera à alimenter le débat plus large sur la confidentialité des données qui fait rage entre les États-Unis et l'Union européenne et à compliquer la vie des groupes de travail de l'UE qui finalisent actuellement le protocole du Privacy Shield, afin de convenir du degré exact de protection accordé aux données des citoyens européens lors de leur transfert vers - et en provenance - des États-Unis.

Ce débat entre Apple et le FBI, mais aussi, plus largement entre les fabricants de smartphones et les gouvernements, que cela soit en France ou aux Etats-Unis, aura donc des répercussions à la fois sur la sécurité des données de chaque citoyen, mais aussi sur celles des entreprises.

Etats-Unis / Chiffrement