Par Charles Bwele
Après l’attaque terroriste de San Bernardino, en Californie, qui fit 14 victimes en décembre 2015, le FBI mit la main sur l’iPhone d’un djihadiste et demanda à Apple d’accéder aux contenus chiffrés du smartphone. Mais la firme à la pomme refusa au nom de la protection des données personnelles de ses clients. Entre dilemmes cornéliens et pièges abscons dans une ambiance en clair-obscur, décryptons passablement ce bras de fer judiciaire et médiatique entre le Bureau et la Firme.
L’hypocrisie ou la schizophrénie des Fédéraux
Quelques années plus tôt, les administrations américaines, et européennes, critiquaient régulièrement l’absence ou l’insuffisance des solutions d’info-sécurité et de chiffrement intégrées aux produits/services commerciaux. Les données personnelles ou sensibles étaient des proies faciles pour les cybercriminels de tout poil et pour les hackers chinois ou russes. De nombreuses firmes technologiques telles qu’Apple ont hissé la barre haut et sont aujourd’hui accusées par ce même gouvernement de faire obstruction aux enquêtes légales avec des solutions de chiffrement plus solides… ou de s’entêter dans leurs stratégies marketing.
Le choc des volontés
Apple est une firme multi-milliardaire cotée en bourse qui vend chaque année des millions de produits et services technologiques dans le monde. Le FBI est une autorité fédérale de police judiciaire et un service de renseignement sur le territoire américain. L’une est d’abord et surtout soucieuse de ses clients, l’autre est très à cheval sur ses investigations.
La confiance des utilisateurs et des marchés
Depuis l’affaire Snowden, bon nombre de gouvernements et d’entreprises ont banni les applications made in USA, se sont rués vers les solutions open source ou les produits et services concurrents et ont durci leurs législations sur la circulation et la rétention des données. L’industrie technologique américaine craint qu’une victoire du Bureau contre la Firme soit l’uppercut de trop. Ce n’est guère un hasard si Microsoft, Google, Facebook, Amazon, Twitter, Facebook et la Silicon Valley se soient rangés aux côtés d’Apple.
Les abus officieusement officiels
Aux États-Unis, au Royaume-Uni et ailleurs, les polices affectionnent particulièrement la technologie de surveillance télécoms StingRay, sans mandat ni autorisation judiciaire. En France, les relais GSM et les DSLAM seront très probablement reconvertis en auxiliaires de police des ondes. Encourageant ?
La jurisprudence
Le FBI jure par tous les octets qu’Apple sera sommée pour cette seule et unique occasion de développer une application lourde et complexe spécifiquement conçue pour craquer le chiffrement de l’iPhone 5C du terroriste. Mais le Bureau a déjà accumulé une dizaine de requêtes similaires (en attente) auprès des tribunaux américains. Pour peu que la Firme cède, la jurisprudence s’en donnerait aussitôt à cœur joie…
La lourdeur, la complexité et les risques
Le développement de cette application très spécifique revient à concevoir un système d’exploitation complet surnommé FBIOS ou GovtOS. Selon la Firme, il faudrait « six à dix ingénieurs et employés d’Apple consacrant une grande partie de leur emploi du temps pendant un minimum de deux semaines, probablement quatre semaines au total »… c’est-à-dire un chef de projet, une équipe d’ingénieurs logiciels maîtrisant parfaitement iOS et la cryptographie, un ingénieur en contrôle/assurance qualité, un ou plusieurs rédacteurs de documentation technique. Une fois conçue, l’application devrait être certifiée (à reculons) par la Firme, puis testée dans des locaux isolés et sécurisés qui ne nuiraient ni à l’enquête, ni à sa routine… en compagnie des experts en informatique légale du FBI. Vaste programme.
D’ores et déjà, une sourde rébellion prend forme au sein d’Apple. Selon le New York Times, de nombreux ingénieurs logiciels (sous anonymat) menacent de démissionner et/ou de désobéir au cas où la Firme serait forcée par la justice de développer un GovtOS.
« Au cas où ces employés seraient identifiés, ils pourraient devenir des cibles de représailles, de coercition ou de menaces similaires par de mauvais acteurs qui cherchent à obtenir et utiliser GovtOS à des fins malveillantes […] Je comprends que ces risques soient une raison pour laquelle les agences de renseignement protègent souvent les noms et les fonctions des personnes ayant accès à des données et informations très sensibles. »
C’est ce qu’a déclaré sous serment Erik Neuenschwander, directeur sécurité produits de la Firme à un tribunal californien.
La boîte de Pandore
Le gouvernement fédéral est régulièrement victime de pertes de supports numériques (CDVD-ROM, clés USB), d’intrusions et de cyberattaques visant ses données sensibles (identités des agents fédéraux, numéros de sécurité sociale, etc). Selon Apple, le développement d’une application de déchiffrement exclusivement dédiée à une enquête particulière du FBI ne garantit guère que cette application ne tombe entre de mauvaises mains et soit sujette à une rétro-ingénierie et/ou à une dérivation à des fins moins louables.
« Le monde virtuel n’est pas comme le monde physique. Quand vous détruisez quelque chose dans le monde physique, l’effort nécessaire pour le recréer est à peu près équivalent à l’effort nécessaire pour le créer en premier lieu. Lorsque vous créez quelque chose dans le monde virtuel, le processus de création d’une copie parfaite et exacte est aussi simple qu’une frappe sur la touche d’un d’ordinateur parce que le code sous-jacent subsiste. » (Apple)
Aléas, CALEA
Voté en 1994 par le Congrès après d’intenses négociations, le Communications Assistance for Law Enforcement Act (CALEA) est le cadre légal définissant l’assistance des sociétés informatiques / télécoms aux autorités. Selon l’article 1002 du CALEA, « le gouvernement fédéral ne peut exiger la conception spécifique d’un équipement, de matériel, de services, de caractéristiques ou de configurations à un fabricant de téléphone. »
À l’ère Clinton, c’est-à-dire aux débuts de l’Internet grand public, le Congrès avait choisi de ne pas introduire une disposition forçant les entreprises technologiques à fournir leur assistance aux autorités pour accéder aux données stockées sur un terminal. Corollairement, le gouvernement fédéral ne peut ordonner à un fabricant d’intégrer un élément nouveau, comme une porte dérobée, dans ses produits ou services dès leur diffusion ou leur commercialisation.
À l’ère du djihad crypté pour iPhone/Android, le FBI et le Département de la Justice préfèrent que le CALEA évoque une prétendue plante exotique plutôt qu’une barrière légale… et invoquent l’All Writs Act (AWA), amendement datant de 1789 et conférant un pouvoir illimité à toute autorité fédérale pourvu d’un mandat de perquisition.
La Loi contre l’Ordre
Forte d’avocats chevronnés et certainement très bien rémunérés, la Firme a d’abord vivement contesté l’invocation de l’AWA, estimant qu’elle n’est pas concernée par l’affaire San Bernardino, condition préalable à toute assistance d’une entreprise aux autorités : « Apple n’est pas plus connectée à ce téléphone que General Motors l’est à un véhicule professionnel utilisé par un fraudeur sur son trajet quotidien ». Ensuite, elle a invoqué le premier amendement sur la liberté d’expression car les tribunaux américains considèrent le code informatique comme une forme de langage (“code is speech”), et le cinquième amendement empêchant toute personne de s’incriminer.
Selon le professeur de droit numérique Albert Gidari dans le blog CIS Stanford Law School, le FBI use d’arguments fallacieux et d’un amendement datant de la révolution française : le CALEA est un coup d’arrêt ferme, catégorique et définitif aux desseins du Bureau.
Surpressions judiciaires et administratives
Les entreprises technologiques cèdent très souvent aux requêtes et aux injonctions du FBI ou du Département de la Justice par l’entremise discrète du FISA et livrent « volontiers » leurs codes sources. Tout va bien tant que les clients et les partenaires ne se doutent de rien ou en savent le moins possible.
Aux États-Unis, le FISA est la terreur des startups et des firmes technologiques :
« Le Foreign Intelligence Surveillance Court est une cour fédérale américaine créée par la loi Foreign Intelligence Surveillance Act de 1978 pour superviser les demandes de mandats autorisant la surveillance, par les agences fédérales judiciaires américaines (FBI, NSA), de présumés agents de renseignement étrangers sur le sol américain. […] Ses pouvoirs ont évolué et se sont élargis au point qu’elle est parfois appelée « la Cour suprême parallèle ». Contrairement aux autres cours fédérales américaines, ses activités ne sont pas analysées par une partie adverse et son interprétation de la loi est une information secrète classifiée pendant 30 ans. » (Wikipédia)
En 2013, la firme Lavabit, spécialisée dans des solutions webmail sécurisées (utilisées par Edward Snowden avant ses années russes) avait préféré mettre la clé sous la porte plutôt que céder au Département de la Justice via le FISA… qui fut une pierre angulaire du fameux programme de surveillance PRISM (vive la NSA !). Le Bureau aurait-il opté pour une approche plus rude et plus tonitruante contre la puissante Firme ?
Guerre psychologique
En réalité, le Bureau n’est guère en quête d’une preuve mais d’un précédent judiciaire ensuite « prêt-à-réchauffer » dans d’autres circonstances. D’où une confrontation médiatique avec Apple qui serait progressivement soumise à un dilemme cornélien : coopérer avec le FBI ou passer pour une complice passive du terrorisme aux yeux de l’opinion américaine.
Le Léviathan global
La cybersécurité de l’iPhone est loin d’être infaillible mais des myriades de mobinautes, a fortiori dans les régimes politiques plus ou moins « durs », l’apprécient grandement pour ses solutions conviviales et intuitives de chiffrement des données personnelles.
Auparavant, de nombreux gouvernements du Moyen-Orient et d’Asie avaient exigé que la firme canadienne Blackberry, réputée pour ses solutions télécoms de chiffrement, installe des serveurs locaux afin de faciliter les enquêtes anti-terroristes. Aujourd’hui, les polices et les justices d’Europe, de Russie, de Chine, d’Iran, d’Arabie Saoudite, d’Inde et consort ont hâte de voir une conclusion judiciaire favorable au FBI qui leur donnera du grain à moudre face à Apple en cas de besoin.
L’Empire du Milieu
La Chine représente plus du quart du chiffre d’affaires d’Apple… qui a tout de même consenti aux audits de sécurité du gouvernement chinois sur ses produits/services mais « n’a jamais créé de portes dérobées, ni livré de code source et encore moins développé un système d’accès personnalisé comme celui demandé par le FBI », selon une déclaration sous serment de Craig Federighi, directeur logiciels de la Firme.
En effet, Apple est nécessairement confrontée à la nature particulière du Web chinois – tant sur le plan technique que légal – qui laisse très peu de marge aux solutions d’infosécurité et de chiffrement. Le gouvernement chinois accède à volonté à tous les services en ligne utilisés par les détenteurs d’iPhone/iPad (et d’autres technologies made in USA/made in China), exerce un filtrage et une surveillance hautement paranoïaques de son Web et n’a donc pas forcément besoin d’accéder à un terminal spécifique (smartphone, tablette, ordinateur) pour satisfaire sa curiosité. Google, Microsoft, Yahoo!, Facebook, Amazon et compagnie, pourtant impatients de s’implanter plus profondément dans ce juteux marché chinois, reculent ou pataugent à cause de ces sulfureux compromis avec Pékin.
Aigle royal et Dragon rouge
Un malheur ne venant jamais seul, le directeur du FBI James Comey s’est rendu en mi-mars à Pékin et a rencontré le ministre de la Sécurité publique Guo Shengkoun afin de « renforcer l’application de la loi et la coopération sécuritaire », notamment contre le cybercrime organisé. Ainsi, le gouvernement fédéral et la république populaire se retrouvent sur la même longueur d’onde pour des raisons différentes et mettent la pression sur la firme à la pomme afin qu’elle dévoile son Graal.
Le Bureau aurait-il obtenu en catimini quelque élément à charge contre la Firme – en vue de l’imminent procès San Bernardino – dans son aventure chinoise ? Les paris sont ouverts.
Obamacare
Résumons et caricaturons l’avertissement plutôt pertinent de 44th à la Silicon Valley dans une intervention au festival SXSW 2016 (médias & technologie) : « Dites, les technos… Vous feriez bien de vous arranger avec le FBI avant qu’il ne soit trop tard. Un jour ou l’autre, une tragédie similaire se produira, le Congrès prendra les choses en main et votera un amendement orwellien que vous n’aimerez pas. »
Au fait, où est la NSA ?
Le FBI n’est certainement pas dépourvu d’astuces permettant de craquer le chiffrement particulièrement sophistiqué de l »iPhone5/iOS 8 et des versions successives mais leur efficacité n’est pas garantie. Elle ne peut se tourner vers la National Security Agency qui n’est pas une autorité fédérale de police judiciaire – tenue de tout expliquer ou révéler dans un tribunal – mais un service de renseignement électronique à l’échelle planétaire qui agit clandestinement et veille jalousement au secret de ses opérations et de ses capacités tous azimuts. En bref, les gars et filles du Bureau sont des fédéraux, ceux et celles de l’Agence sont des espions.
—
Il me semble pas que soit mentionné dans les liens de cet article l’un des moyens les plus simples dont pourrait disposer le FBI pour craquer l’iPhone 5C concerné…il est à la porté de beaucoup d’électroniciens amateurs de dessouder une puce de mémoire flash…et on trouve relativement facilement des outils permettant de copier le contenu de ces puces à un autre emplacement sans risquer de compromettre leur contenu et donc de gagner la possibilité de faire un nombre de tentatives infinies pour bruteforcer le contenu de cette puce.
A moins que le FBI ne souhaite comme le souligne cet article ainsi que l’American Civil Liberties Union créer un précédent visant à affaiblir durablement toute forme de cryptage.
Bref Apple n’a pas à décrypter la puce de mémoire flash pour le FBI et si le FBI n’avait pas commis une erreur de débutant (chose qu’ils ont admise devant le juge ayant donné raison à Apple), ils auraient été capable facilement de récupérer le contenu de l’iPhone concerné.
C’est un peu plus compliqué que cela : Les appareils iOS disposent d’un moteur cryptographique 256 bits AES intercalé entre la mémoire Flash et la mémoire système principale. Si vous copiez la mémoire Flash, vous vous retrouvez avec un truc crypté à priori incassable.
De mémoire, l’erreur du FBI a été de « sécuriser » le téléphone en bloquant la synchro avec le cloud. Si la synchro avait été active, l’ensemble des données de l’iPhone aurait été disponible dans le cloud d’appel et accessible avec une clé de déchiffrement que possède – et qu’utilise – Appel dans le cas des procédures judiciaires.
Le FBI souhaite créer un précédent. Les terroristes utilisaient des téléphones privés qu’ils ont détruits avant d’agir. Le téléphone que souhaitent « ouvrir » le FBI est un téléphone d’entreprise qui ne contient vraisemblablement aucune donnée critique.
Effectivement, mais copier la mémoire flash permet potentiellement d’effectuer un nombre infini de tentatives (puisque c’est l’approche que le FBI dit utiliser autant être aussi stupides qu’eux).
Après, pour les téléphones jetables, la technique est connue depuis extrêmement longtemps et les IMSI catcher et autres dispositifs d’espionnage de masse que les gourvernemaman veulent mettre en place ne sont d’aucune utilité pour « lutter contre les méchants terroristes »…à priori les bras cassés qui sont intervenus à Paris ne l’étaient peut être pas autant que la presse a bien voulu les présenter. A priori, ils auraient utilisé plusieurs dixaine de téléphones à usage unique (et à usage bien défini), activés quelques minutes seulement avant leur utilisation…
Voir l’article de numérama sur le sujet : http://www.numerama.com/pop-culture/153853-attentats-de-paris-snowden-parle-createur-de-the-wire.html
@ Charles.w
Si la clef est longue, un cryptage de 256 bits AES n’est pas attaquable en force brute, cela demanderait des milliers d’années.
Encore une fois, je reprends l’argumentaire du FBI qui pour simplifier est « on ne peut pas déchiffrer le contenu de l’iPhone parcequ’il va s’effacer au bout de 10 tentatives, il faut qu’Apple nous aide à le déchiffrer ou qu’Apple nous donne les moyens d’effectuer un nombre illimité de tentatives ».
Cette approche marche très bien auprès du grand public et des politiques.
Et si les gens étaient assez grand pour crypter eux-même leurs données ? Et si les smartphones offraient des outils de cryptage ( dont une multitude existe déjà chez les libriste )? Apple n’aurait alors aucun compte à rendre à la NSA ou au FBI ? N’y aurait-il pas un brin de schizophrénie dans cette entreprise ?
Au final, une nouvelle guéguerre de Sécession dans l’Amérique du 21ème siècle. Cela dit, aucune conséquence pour le reste du monde, à part que ces firmes américaines supra-étatiques continueront à récolter les données privées de la planète et à faire fortune grâce à leur génie marketing. Tout ça grâce aux « pay back doors » de nos ordiphones. Chut … … …
Le problème c’est que si la couche cryptographique n’est pas intégrée aux couches basses du système, son surcout est important. Sur Android, la couche de crypto n’est activée que sur les terminaux de Google, la plupart des constructeurs jugeant son impact trop important sur les performances du système.
D’accord avec Apple dans cette affaire.
Les commentaires sont fermés.