Apple refuse formellement de créer un « GovtOS »

Stéphane Moussie |

Apple s’oppose officiellement à aider le FBI à déverrouiller l’iPhone d’un des terroristes de San Bernardino en créant un logiciel qui saperait la sécurité d’iOS. Dans un document de 65 pages, les avocats d’Apple démontent la demande des autorités américaines.

« Il ne s’agit pas d’une affaire concernant un unique iPhone. Il s’agit en réalité d’une affaire dans laquelle le Département de la Justice et le FBI cherchent à obtenir par le biais d’un tribunal un pouvoir que le Congrès et le peuple américain a retenu », écrivent-ils en préambule.

Crédits : Tripp CC BY

De quoi les avocats d’Apple parlent-ils exactement ? Ces dernières années, le Département de la Justice a cherché à étendre la portée du Communications Assistance for Law Enforcement Act (CALEA), le cadre légal qui définit dans quelle mesure les sociétés privées doivent aider les forces de l’ordre dans l’exécution de la surveillance électronique. Le Congrès a choisi de ne pas introduire une disposition qui aurait forcé les entreprises comme Apple à fournir son assistance pour accéder à des données stockées sur un smartphone. En conséquence, le gouvernement américain s’est reporté sur les tribunaux pour parvenir à ses fins, estime Apple.

Une procédure attaquée de tous les côtés

Dans l’affaire de San Bernardino, le gouvernement a fait appel à l’All Writs Act, une loi de 1789, pour forcer Apple à l’assister. Les avocats de la firme battent en brèche la validité de la procédure. Pour appliquer l’All Writs Act, il faut que celui dont on demande l'assistance ne subisse pas de « charge déraisonnable ». Or, demander à Apple de créer un logiciel qui sape des fonctions de sécurité qu’elle a mis des années à bâtir est déraisonnable, estime la défense. De plus, ce logiciel n’affecterait pas seulement Apple, mais aussi tous les utilisateurs d’iPhone, qui courraient le risque de voir leurs données moins bien protégées si ce logiciel venait à fuiter, arguent les avocats.

Apple conteste aussi l’utilisation de l’All Writs Act en jugeant qu’elle n’est pas concernée directement par l’affaire (c’est une des conditions indispensables pour qu’une entreprise fournisse son aide) : « Apple n’est pas plus connectée à ce téléphone que General Motors l’est à une voiture professionnelle utilisée par un fraudeur sur son trajet quotidien ».

Elle estime aussi que le gouvernement n’a pas su prouver que sa demande était absolument nécessaire pour exécuter le mandat de perquisition. « En effet, le FBI a fermé une piste quand, sans consulter Apple ou se renseigner sur les directives publiques d’iOS, il a changé le mot de passe iCloud associé au compte du terroriste, empêchant ainsi le téléphone de réaliser une sauvegarde automatique iCloud », assène Apple.

Sur ABC News, Tim Cook s’était dit surpris de la façon dont le FBI avait géré l'enquête. Il avait sous entendu que le FBI n'avait pas cherché à collaborer efficacement avec Apple. Le document qui vient d'être communiqué permet d’en savoir plus sur ce qui s’est passé. On apprend qu'avant de déposer sa demande au tribunal, le gouvernement a averti la presse… mais pas Apple. C’est seulement une fois que la demande a été validée par le tribunal qu’Apple en a eu connaissance. Dans le même temps, le gouvernement s’est empressé de la rendre publique. Par ailleurs, en adoptant une procédure dite ex parte, le gouvernement n’a pas permis à Apple de s’exprimer au préalable sur le caractère « raisonnable » de la requête.

Dans un document datant du 22 février, le gouvernement affirme qu’Apple « a expressément convenu de l’aider à accéder aux données de l'appareil ». Au vu de la procédure décrite par Apple, on se demande à quel moment elle aurait pu donner un tel accord.

Les avocats qui défendent Apple estiment aussi que la requête du FBI viole deux amendements de la Constitution. Des tribunaux ayant considérés que le code était une forme de langage (« code is speech »), Apple ne pourrait être contrainte à écrire un logiciel, comme le veut le premier amendement sur la liberté d'expression. L'autre amendement exploité par la défense est le cinquième, qui empêche qu'une personne s'incrimine elle-même. Ici, l'angle est qu'Apple se retrouve obligée à réaliser quelque chose à laquelle elle est opposée.

Jusqu'à dix personnes et quatre semaines de travail pour créer « GovtOS »

La partie technique est également intéressante. Erik Neuenschwander, responsable de la confidentialité des utilisateurs chez Apple, estime que pour « concevoir, créer, valider et déployer » le logiciel demandé par le FBI, il faudrait « six à dix ingénieurs et employés d’Apple consacrant une grande partie de leur emploi du temps pendant un minimum de deux semaines, probablement quatre semaines au total. »
 Pour réaliser ce qu’Erik Neuenschwander appelle « GovtOS », il faudrait des ingénieurs logiciels ayant une parfaite connaissance d’iOS, un ingénieur en assurance qualité, un chef de projet et quelqu’un pour écrire la documentation.

Le responsable de la confidentialité souligne que, si le gouvernement venait à faire pencher la balance en sa faveur et usait de son nouveau pouvoir pour déverrouiller d’autres iPhone, Apple se retrouverait dans la situation ubuesque où elle devrait maintenir « GovtOS » en même temps qu’iOS.

Dans le cas où le gouvernement s’en tiendrait à une unique utilisation, et où Apple devrait détruire « GovtOS », Erik Neuenschwander affirme qu’il serait quasiment impossible de s’assurer que le logiciel soit absolument éradiqué. Et même s’il l’était, les personnes qui l’ont créé sauraient toujours comment le recréer.

La réponse du gouvernement est attendue pour le 10 mars. D’ici là, Bruce Sewell, vice-président et conseiller juridique d’Apple, et James Comey, le patron du FBI, se rencontreront à la Chambre des représentants le 1er mars.


Tags
avatar MacGruber | 

Les étasuniens sont d'une extrême contradiction.

D'un côté ils s'attachent au paiement en cash et aux prix HT, ils souhaitent garder leurs armes...
Et cela par méfiance de leur gouvernement.

De l'autre, c'est vas-y mets la moi bien profondément pour connaître toute ma vie tant que tu me protèges.

Consternant !

avatar Gary94 | 

Nous on est encore au paiement en carte bancaire alors qu'en Afrique ils payent avec leur tel (reportage TF1 du JT de ce soir).
En France c'est la défiance*
On a pas d'armes mais on s'est pris 130 morts en une seule fois (bon aux USA c'est quelques uns mais tous les jours donc ça chiffre vite)

avatar Jetel | 

Il faut aller dormir les petits, il est tard ! Trop tard visiblement.

avatar Fabeme | 

@Gary94 :
Oui alors l'argument des 130 victimes... Le 11 septembre les USA ont pris une confortable avance à cette bataille macabre que tu semble vouloir arbitrer.
Argument franchement sot à mon sens...

avatar Gary94 | 

T'as raison (ironique bien sûr)
J'arbitre pas des chiffres. C'est juste une constatation, un chiffrage. C'est objectif...
Mais encore une fois les USA sont toujours "en avance*. C'est ce que je dis toujours au prof quand j'arrive en retard en cours : des fois c'est préférable de pas être en avance ;-)

avatar Claude Pelletier | 

Et puis en étant attentif moins longtemps que ceux arrivés "comme il faut", tu disposes d' une attention plus soutenue, plus efficace. Moralité : Tu es donc un winner ;—)

Les chiffres avancés (attentats parisiens) sont trompeurs. Ils ne font émerger qu'un tout petit bout de l'iceberg de la menace. Leur choix font apparaître un certain déni.
Pourquoi oublier que ces attentats de masse sont plus fréquents que chez nous ailleurs et quasi quotidiens dans quelques pays très chauds ? On ne fait pas ou plus attention à des tueries quotidiennes en Irak ou en Syrie… Pourquoi les exclure de nos bavardages ? Pourquoi ce présupposé national ?
Il faut faire un effort pour s'extraire de l'idée que les infos placées à la grosse "une" de nos grands médias … ont une importance universelle. Sortir de l'idée que ce qui est essentiel c'est ce qui se passe seulement sur notre palier ou dans notre rue.

avatar hugome | 

@Gary94 :
Hmm, les meurtres par armes aux US c'est 30 par jour. Tous les jours

avatar Gary94 | 

Oui je l'avais dit entre parenthèses dans un précédent commentaire pour éviter une telle réponse

avatar YAZombie | 

Tu essayes d'éviter une réponse valide à un commentaire sot en précisant une fois ailleurs que tu sais que tu dis une sottise ?
Ben dis donc, j'espère que tu n'es pas en khâgne...

avatar Gary94 | 

Ça s'appelle l'anticipation des réactions humaines (qui sont trop prévisibles)

avatar YAZombie | 

Oui c'est ça, d'ailleurs moi j'avais anticipé ta réaction (trop prévisible) dans un commentaire il y a quelques semaines…
La prochaine fois que tu veux anticiper, fais mieux: ne raconte pas de sottises. En plus apparemment pour toi au moins c'est un vrai challenge!

avatar karayuschij | 

Pire que des gamines de 5 ans…

avatar YAZombie | 

Oh, un adulte déresponsabilisé!

avatar Gary94 | 

Pour t'éviter de dire des conneries, faudrait peut-être apprendre à lire et surtout à comprendre le français (à la place de m'envoyer des beaux textes anglais)
Je parlais des armes à feux aux USA et pas seulement du terrorisme. Relis

avatar RoomLight | 

Mais donc ça veut dire que 10 ingénieurs peuvent en un mois créer secrètement un logiciel qui casse la sécurité de iOS, et dans un excès de folie le publier et nous mettre tous à poil numériquement ?

avatar Gary94 | 

Et dans ton cercueil tu seras comment !? À poil

avatar Claude Pelletier | 

Ou en cendres en train de bourrer ton urne !

avatar Gary94 | 

Au moins sur Android tu peux pas avoir ce genre de réflexion sur comment casser la sécurité. Puisqu'il y en a pas (elle est optionnelle)

avatar XiliX | 

@RoomLight :
Oui... mais ce sont des ingénieurs qui travaillent aussi dans le dev d'iOS, donc il le connaît

avatar EBLIS | 

Pas n'importe quels ingénieurs. Ceux qui sont déjà expert en iOS et sa conception, ils ont donc tout à disposition pour le faire contrairement à ceux qui pratiquent le reverse engineering.

avatar TheG | 

J'aimerais bien comprendre ce que font les milliers d'ingénieurs d'Apple si 10 mec leur suffise à créer ça.

C'est flippant que Ca soit possible de le faire

Tu trouve 10 anciens ingénieurs d'Apple qui ont bosse sur iOS et boom!?

avatar Florian Innocente | 

@TheG :
Ce sont "10 mecs" qui doivent détricoter ce qu'ils ont eux-même tricoter. Ils partent nécessairement avec un certain avantage.

avatar nayals | 

@TheG :
Il faut aussi la signature numérique d'Apple pour pouvoir installer le logiciel, j'imagine qu'ils ne se la trimbalent pas sur eux et qu'elle est bien gardée...

avatar BeePotato | 

@ TheG : « J'aimerais bien comprendre ce que font les milliers d'ingénieurs d'Apple si 10 mec leur suffise à créer ça. »

Ben les autres ingénieurs, eux, ils bossent à créer et faire évoluer un OS complet, ce qui demande bien plus de boulot que de faire une modification mineure de l’OS actuel pour en éliminer deux ou trois fonctions de sécurité.

« C'est flippant que Ca soit possible de le faire »

Rappelons qu’on parle bien ici d’une équipe d’une dizaine de personnes ayant déjà une très bonne connaissance de l’OS, ET accès à la totalité du code source de l’OS ainsi qu’à toutes les informations techniques concernant les iPhone et leurs systèmes de sécurité, ET accès à la clé privée permettant de signer leur nouvel OS pour l’installer facilement sur un iPhone, ET ayant l’autorisation de faire ce boulot.
Dans ces conditions, oui, c’est assez rapide de développer un truc permettant de faire ce que demande le FBI.

Mais comme il n’existe actuellement aucune équipe qui réunit toutes ces conditions, il n’y a rien de bien « flippant ». ;-)

avatar marc_os | 

@TheG :
Euh... C pas n'importe quels ingénieurs, hein ! En plus ils doivent avoir accès au code source de l'OS. Alors n'espère pas monter ta propre équipe pour aider le FBI !

avatar XiliX | 

@TheG :
Ils ne partent de zéro hein...

avatar XiliX | 

@TheG :
Et c'est juste un nombre minimum à mon avis il faut au moins le double

avatar powergeek | 

Au-delà du cas précis, je trouve flippant qu'une entreprise privée se sente suffisamment puissante pour se placer au-dessus d'un état. Même si je trouve la cause juste ça en dit long sur le poids d'Apple. Vous imaginez Wiko ou Archos faire la même chose ?

avatar Claude Pelletier | 

J'ai apprécié l'article de macgé, très informatif, sur les relations État fédéral//Apple, et il m'a presque convaincu …… mais je partage aussi ton sentiment. C'est inquiétant.

avatar marc_os | 

@powergeek :
Apple ne se place pas "au dessus de l'Etat" c'est plutôt le FBI qui aurait cette tendance ! Apple ne peut mettre en œuvre dans ce genre d'affaire que des moyens légaux. Alors que les services "secrets" ne s'embarrassent souvent pas de ce genre de chose...

avatar Penible | 

Et là il est temps de rappeler que nous consommateurs nous leurs donnons ce poids ... trouver ça flippant maintenant c'est dommage ...

avatar TheRV | 

La position d'Apple est quand même farfelue. Personne n'a obligé Apple à crypter les téléphones de monsieur tout le monde. Crypter sur le dispositif physique un trousseau, les comptes bancaires, ça peut se comprendre. Mais les messages, journaux d'appels et les photos, franchement....

avatar Ginger bread | 

@TheRV :
Tu prends l exemple d Apple mais les solutions de chiffrages existent par défaut et Apple n est pas le premier à l implémenter.
C est simplement que l affaire arra ge le FBI pour disposer d un outil d acces. Ce serait un autre telephone il l aurait mis de côté.

avatar TheRV | 

Apple est le premier à implanter le cryptage par défaut et de manière massive

OS X n'est pas crypte par défaut (peut être sur les nouvelle machines?)

avatar Ginger bread | 

@TheRV :
Tu connais le telephone therorem?

Apple n a pas utilisé le chiffrage en premier. Si tu t imagines qu au gouvernement ou meme chez BLACKBERRY ce n est pas en place. Lol

avatar GoldenPomme | 

Ya combien de michu qui possède un Teorem de chez Thalès. Des centaines de millions j'imagine ?

avatar XiliX | 

@TheRV :
Filevault

avatar Lax | 

@TheRV :
À ce compte là, donne moi les clefs de ta maison. Après tout c'est un peu la même chose. Pour moi ça me fait ch***. Je suis désolé, mais je refuse que l'on rentre fouiller dans mes affaires (de mon téléphone comme de mon logement) c'est ma vie privée et c'est la même chose.

avatar Billytyper2 | 

@TheRV :
C'est ça qui est crypté, le reste se trouve aussi sur ta sauvegarde cloud.

avatar Penible | 

Tout crypter revient sans doute moins cher qu'assurer une vraie sécurité aux données de nos appareils ...

avatar hdam1959 | 

@TheRV :
Curieux de vous voir ainsi questionner le droit à la vie privée.

avatar TheRV | 

En parallèle de ces actualités Apple C/ FBI, certaines réactions démontrent à quel point ce sujet est révélateur d'une société à son paroxysme de l'individualisme.
Rien à faire des victimes, rien à faire de la justice, seul le Moi compte pour certains et la protection de leur soit disant vie privée d'un complot gouvernemental international, dont en réalité ni les autorités ni personne n'ont que faire.
En tous cas, le grand retour de X-Files ce soir était bien sympa ;)

avatar Domsware | 

@TheRV :
L'individualisme est dans l'autre sens : la peur de quelques uns qui privent le reste de la communauté du droit essentiel à la vie privée.

avatar marc_os | 

@TheRV :
Sympa aussi de la part de M6 de couper/flouter, donc de censurer certaines scènes too much selon eux pour les français en prime time ! Quels bande de nazes quand même.

avatar perlaurent | 

Allez un peu de fiction..
T0 : lancement du projet GovtOS (reste à définir T0 si cela se produisait)
T0+4 semaines : fin de la phase pilote et validation par l'équipe projet d'Apple en collaboration avec les autorités US
T0+4 semaines + 1 heure (je préfère rester large) : code de GovtOS disponible en téléchargement sur des serveurs Torrent russes
Conséquences : Apple perd une partie de sa clientèle iPhone mais surtout : une partie du secteur Hightech risque de trinquer suite aux fuites de code car les populations d'iphoniens se rendent compte que leurs données confidentielles peuvent être recupèrées par n'importe qui.

La suite : les gouvernements occidentaux (USA en 1er) profitent de la situation pour créer ou renforcer des lois visant à "sécuriser" Internet et donner plus de pouvoir aux autorités en matière de surveillance. Cela inclut le bridage des solutions de cryptage sur internet mais aussi pour tout type d'appareil ou terminal y recourant, exception faite des outils et services de paiement. Les clés de décryptage doivent désormais être communiquées aux autorités de chaque pays où un produit, un service numérique et Internet sont distribués. Des agences spécialisées sont créés pour identifier les différents cryptages utilisés en relation avec les opérateurs et les fabricants. Des peines et amendes sont mises en place (on a déjà le dispositif en France avec Hadopi).

Les autorités ont désormais l'accès universel à toute forme de données stockées et échangées à partir de n'importe quel support. Les milliards de dollars investis dans le récent Datacentre de la NSA situé dans l'Utah (+de 10000 racks serveurs) sont vite amortis.

En revanche, le monde risque bien à moyen terme de se scinder en "régions" numériques car des pays comme la Chine ou la Russie refuseront de se soumettre aux règles occidentales et utiliseront dès lors leurs propres technologies.
A méditer ;)

avatar flo3183 | 

@perlaurent :
Ok admettons. Apple crée un GovTOS et il se retrouve sur le web... Pas cool, certes.
Mais sur la totalité des clients Apple, qui va aller le downloader et l'installer sur son iDevice? Et dans quel but? Certainement pas vous qui êtes très à cheval sur la sécurité, certainement pas le client lambda, et moi non plus! Pourtant, je suis plutôt pour qu'apple déverrouillé les iDevice sur demande.
Et je ne vois pas comment ce bout de code pourrait être déployé à l'insu de ses utilisateurs sur des milliards de téléphone! Même si par je ne sais quel biais, un hacker arrive à déployer ca en OTA sur des millions de tel, Apple a la possibilité de ne plus signer le certificat il me semble. Donc on est très loin d'un scénario catastrophe!

avatar rikki finefleur | 

1/
et bien il suffit de modifier l'os du phone pour que ce soft n'agisse plus en cas de malversation.. C'est simple et des maj d'os se font régulièrement. Enfin il faut aussi avoir l'equipement pour le faire . Pensons a un hardware micro-electronique. Tu vois c'est pas compliqué.

2/ Et si on reprend ta philosophie (absurde je pense), il faudrait cesser dès à présent toute transaction basée sur un mot de passe , car cela peut se retrouver sur le web.
Autant des dire des murs géants qui s'effondre dans la chose électronique et numérique, que ce sotr le web ou les transactions financières .

Autre exemple
Quand tu vois que par exemple l'assurance maladie, le trésor public ont accès a tes comptes bancaires , te soucies tu par quels moyens ils le font et les risques encourues ?
Non personne n'en parle. Car en dehors du buzz médiatique entretenu ou pas par des marques.
En conclusion, ne tombons pas trop dans ce matraquage médiatique publicitaire de ce pdg.
La justice doit etre a sa place, les vendeurs de smartphone aussi. Ce ne sont pas à eux de rendre justice.

avatar XiliX | 

@flo3183 :
A condition que tout le monde ait fait les mises à jour de l'OS qui permet de dévalider la clef

avatar Domsware | 

@TheRV :
Parce que les données personnelles sont primordiales au même titre sinon plus que le trousseau et les coordonnées bancaires.

Pages

CONNEXION UTILISATEUR