Apple a longtemps vanté son iPhone comme étant un dispositif suffisamment sécurisé pour que seul son propriétaire soit à mesure de le déverrouiller. Une vision un peu édulcorée de la réalité qui a quand même tenu l’éditeur d’iOS loin de toutes formes de bug bounty avant son bras de fer avec les forces de l’ordre.
Pour rappel, ces dernières souhaitaient qu’Apple installe un mécanisme qui permette de contourner sa propre sécurité. Apple ayant refusé de le faire, mettant en avant le fait que cela pourrait nuire à la sécurité de ses dispositifs de par le monde, le FBI a fait appel à une entité tierce qui a profité d’une vulnérabilité pour parvenir à son but. Depuis, Apple a décidé de lancer à son tour un Bug Bounty, au même titre que les autres enseignes technologiques.
Pour se positionner à nouveau comme le champion de la sécurité, Apple a annoncé mercredi qu’il allait améliorer le chiffrement des données sur ses iPhone afin de mieux contrer des pirates informatiques ou des policiers trop zélés. Ces nouvelles mesures arrivent à un moment où un nouvel outil appelé GrayKey, que l’on dit capable de déverrouiller les iPhone, commence à se faire une réputation dans les milieux technologiques.
« Nous mettons le client au centre de tout », a expliqué Apple dans un communiqué mercredi. « Nous renforçons sans relâche nos protections de sécurité dans chaque produit Apple pour aider nos clients à se défendre contre les hackers »
Le constructeur a confirmé à Reuters la présence d’une fonction qui interdit à un appareil branché sur le port Lightning de l’iPhone ou de l’iPad d’accéder à son contenu si l’utilisateur ne s’est pas identifié dans la dernière heure.
L’option, qui est apparue dans la première bêta d’iOS 11.4.1 et elle est aussi présente dans la préversion d’iOS 12, se trouve dans les réglages Face ID et code, en bas du panneau. En la désactivant, on empêche effectivement la connexion d’accessoires USB si l’iPhone est verrouillé depuis plus d’une heure. Pour Apple, cette fonction permet de couper l’herbe sous le pied aux forces de police et aux agences à acronymes de fouiller dans les données d’un terminal avec l’aide d’un boîtier GrayKey par exemple.
Le boîtier GrayKey qui permet de « casser » les protections de deux appareils iOS à la fois.
Vous voulez déverrouiller un iPhone ? Par là cela ne sera plus possible
Une décision qui semble mettre les forces de l’ordre en colère et qui pourrait bien relancer la question sur le fait de savoir si le gouvernement a le droit d’entrer dans les dispositifs personnels de la vie moderne est désormais relancée.
Avec cette fonction, pour transférer des données depuis ou vers l’iPhone via le port, une personne devra alors entrer le mot de passe du téléphone si celui-ci a été verrouillé depuis plus d’une heure. Un tel changement va gêner les forces de l’ordre, qui ont généralement déverrouillé des iPhones en connectant un autre appareil exécutant un logiciel spécial sur le port, souvent des jours ou même des mois après le dernier déverrouillage du smartphone. Les nouvelles de la mise à jour programmée d’Apple ont commencé à se propager à travers les blogs de sécurité, ce qui a eu pour résultat de mettre en colère de nombreuses agences d’investigation.
« Si nous revenons à la situation où nous n’avons plus d’accès, alors nous aurons perdu tellement de preuves et il y aura tellement d’enfants que nous ne pourrons plus mettre dans une position de sécurité », a déclaré Chuck Cohen, qui dirige un groupe de travail de la police de l’État de l’Indiana sur les crimes sur Internet contre les enfants. La police de l’État de l’Indiana a déclaré avoir débloqué 96 iPhones pour divers cas cette année, chaque fois avec un mandat, en utilisant un appareil de 15 000 $ qu’elle a acheté en mars auprès d’une compagnie appelée Grayshift.
Une décision qui ne fait pas l’unanimité
Cependant, pour les défenseurs de la vie privée, Apple a raison de corriger cette faille de sécurité qui est devenue plus facile et moins coûteuse à exploiter : « C’est une très grande vulnérabilité dans les téléphones d’Apple », a déclaré Matthew D. Green, professeur de cryptographie à l’Université Johns Hopkins. Selon lui, un dispositif de Grayshift sur un bureau dans un poste de police pourrait très facilement se retrouver dans d’autres mains.
Dans un courriel adressé au New York Times, un porte-parole d’Apple, Fred Sainz, a déclaré que l’entreprise renforçait constamment les protections de sécurité et corrigeait toute vulnérabilité détectée dans ses téléphones, en partie parce que les criminels pouvaient également exploiter les mêmes failles. « Nous avons le plus grand respect pour les forces de l’ordre, et nous ne concevons pas nos améliorations de la sécurité pour réduire à néant leurs efforts dans l’amélioration de leur travail ».
Apple et Google, qui développent les logiciels utilisés dans presque tous les smartphones du monde, ont commencé à chiffrer leurs systèmes d’exploitation mobile en 2014. L’objectif est de brouiller les données pour les rendre illisibles, à moins de disposer d’une clé spéciale (qui peut être un mot de passe). Une stratégie qui n’a pas enchanté les forces de l’ordre.
Rappelons d’ailleurs que plusieurs élus de par le monde veulent se battre contre le chiffrement, mettant en avant la dimension sécurité nationale. L’argument est souvent le même : « puisque les terroristes utilisent WhatsApp pour communiquer, alors WhatsApp doit nous permettre de lire les conversations ». Les demandes quant à elles peuvent varier. Certains veulent des portes dérobées, d’autres une utilisation de mécanisme de chiffrement moins efficace.
Une stratégie qui n’est pas nouvelle chez Apple
Il faut préciser que ce n’est pas la première fois qu’Apple ferme des failles dans la sécurité de ses dispositifs. Pendant des années, la police pouvait utiliser la force brute en se servant d’un logiciel qui allait tester toutes les combinaisons possibles de mots de passe jusqu’à ce que le téléphone soit déverrouillé. Apple a décidé alors d’y mettre fin en désactivant les iPhones après un nombre limité de saisis de mauvais mots de passe. Cependant, selon Green, les logiciels Grayshift et Cellebrite semblent pouvoir désactiver cette technologie Apple, permettant à leurs appareils de tester des milliers de codes d’accès.
Les organismes d’application de la loi qui ont acheté un dispositif GrayKey comprennent la Drug Enforcement Administration, qui a acheté un modèle avancé cette année pour 30 000 $, selon les dossiers publics. La police d’État du Maryland en a un, tout comme les services de police de Portland, en Oregon, et de Rochester, au Minnesota, selon les registres.
Apple, défenseur des criminels ? Oui, pour un procureur
Hillar Moore, procureur de Baton Rouge (capitale de la Louisiane), a déclaré que son bureau avait versé à Cellebrite des milliers de dollars pour débloquer des iPhones dans cinq affaires depuis 2017, notamment une enquête sur la mort d’un engagement de fraternité à la Louisiana State University. Il a dit que les téléphones avaient fourni des informations cruciales, et il était contrarié qu’Apple ait prévu de fermer une telle avenue d’investigation utile.
« Ils protègent de manière flagrante les activités criminelles, et seulement sous le couvert de la vie privée pour leurs clients », a-t-il estimé.
Michael Sachs, un procureur de district adjoint à Manhattan, a déclaré que son bureau utilise des solutions de contournement (il a refusé de préciser lequel) pour accéder à des iPhones verrouillés plusieurs fois par semaine. Cela a permis de résoudre une série de cas ces derniers mois, notamment en se connectant à un iPhone pour trouver des vidéos d’un suspect qui agressait sexuellement un enfant. L’homme en question a été condamné cette année.
Le jeu du chat et de la souris
Au cours des dix premiers mois de 2017, le bureau du procureur de Manhattan a déclaré avoir récupéré et obtenu des mandats ou avoir consenti à fouiller 702 smartphones verrouillés, dont les deux tiers étaient des iPhones. Les smartphones exécutant le logiciel Android de Google sont généralement plus faciles d’accès, en partie parce que de nombreux appareils plus anciens ne sont pas chiffrés.
Le chiffrement sur les smartphones s’applique uniquement aux données stockées uniquement sur le téléphone. Des entreprises comme Apple et Google donnent régulièrement aux responsables de l’application de la loi l’accès aux données que les consommateurs sauvegardent sur leurs serveurs, par exemple via le service iCloud d’Apple. Apple a déclaré que depuis 2013, il a répondu à plus de 55 000 demandes du gouvernement des États-Unis à la recherche d’informations sur plus de 208 000 appareils, comptes ou identifiants financiers.
Selon Michelle Richardson, analyste au Centre pour la démocratie et la technologie, qui soutient les protections de la vie privée en ligne, la dernière initiative d’Apple fait partie d’un jeu de chat et de souris entre les entreprises technologiques et les forces de l’ordre.
« Les gens s’attendaient toujours à ce qu’il y ait un va-et-vient. Notamment que le gouvernement puisse hacker ces appareils, puis qu’Apple décide de boucher la faille et que les hackers trouvent une autre solution », a-t-elle déclaré.
Sources : Reuters