Le FBI pourrait-il farfouiller comme il le souhaite dans les données des utilisateurs américains de produits Apple ? C'est ce que semble indiquer à première vue un changement dans le dernier rapport sur la transparence publié par la firme de Tim Cook. Une mention spéciale, le « warrant canary », qui assure que le service de renseignement intérieur n'a pas demandé d'informations n'est plus présente. Une omission qui pourrait en fait être liée à un changement de règles.
Pour comprendre toute l'affaire, il faut remonter au premier rapport sur la transparence publié en novembre 2013. Cinq mois après le début des révélations d'Edward Snowden, Apple publie un document détaillant autant que possible les demandes relatives aux données privées de ses utilisateurs qu’elle a reçues de la part des différents gouvernements, dont celui des États-Unis.
Ce rapport est salué par l'Electronic Frontier Foundation, une organisation de défense des droits des internautes, notamment parce qu'il inclut un « warrant canary » concernant la très controversée section 215 du Patriot Act, qui autorise le gouvernement à saisir « toute chose tangible » pouvant avoir un rapport avec une enquête antiterroriste, y compris les données de personnes non soupçonnées de terrorisme, et ce, sans avoir à motiver sa demande.
Le warrant canary, une pratique commune chez les FAI mais inédite pour une entreprise de la taille d’Apple, consiste à déclarer que la société n’a pas reçu d’injonction à produire des documents à date. Il s'agit d'une astuce législative : alors qu’une formulation positive est clairement interdite par le Patriot Act, Apple peut utiliser la forme négative pour faire savoir ce qu'il en est. Si l'entreprise ne met pas à jour cette déclaration dans un rapport, on peut donc en déduire qu’on lui a entre-temps forcé la main et qu’elle a dû communiquer des données.
Or, le dernier rapport ne contient justement pas ce warrant canary. Apple a-t-elle été forcée de transmettre des données au gouvernement américain sous la section 215 ? Pas forcément, analyse Ars Technica.
Entre temps, le Département de la Justice a changé les règles du jeu du warrant canary. Depuis le début de l'année, les sociétés ont deux choix pour informer des demandes gouvernementales. Soit fournir des informations détaillées, mais attendre longtemps avant de pouvoir le faire. Soit le faire rapidement, mais en rassemblant les différents types de demandes ensemble. C'est apparemment cette seconde option qu'Apple a adoptée.
La firme de Cupertino ayant très certainement reçu des demandes liées à la section 702 du Foreign Intelligence Surveillance Act (c'est ce que laisse penser l'absence de warrant canary concernant cette section dans les précédents rapports), qui permet la collecte d'informations sur des personnes résidant en dehors des États-Unis (programme PRISM), cela pourrait expliquer pourquoi il n'y a plus de warrant canary concernant la section 215. Comme Apple met maintenant dans le même panier les demandes de la section 702 et celles de la section 215, elle ne peut pas faire de warrant canary de groupe. Toujours est-il que cela obscurcit bien les requêtes gouvernementales, puisque si un jour le FBI fait usage de la section 215, il ne sera plus possible de le savoir.
Tim Cook a récemment fait part de l'effort d'Apple en matière de respect de la vie privée en publiant une lettre ouverte. « La sécurité et la vie privée sont fondamentaux lors du développement de nos produits, de nos logiciels et de nos services », peut-on lire dans ce texte disponible dans une nouvelle section du site officiel rassemblant des informations sur la gestion de la confidentialité et les demandes d'informations des gouvernements. Un effort qui ne peut payer que si les États vont dans la même direction.
