Apple refuse formellement de créer un « GovtOS »

Stéphane Moussie |

Apple s’oppose officiellement à aider le FBI à déverrouiller l’iPhone d’un des terroristes de San Bernardino en créant un logiciel qui saperait la sécurité d’iOS. Dans un document de 65 pages, les avocats d’Apple démontent la demande des autorités américaines.

« Il ne s’agit pas d’une affaire concernant un unique iPhone. Il s’agit en réalité d’une affaire dans laquelle le Département de la Justice et le FBI cherchent à obtenir par le biais d’un tribunal un pouvoir que le Congrès et le peuple américain a retenu », écrivent-ils en préambule.

Crédits : Tripp CC BY

De quoi les avocats d’Apple parlent-ils exactement ? Ces dernières années, le Département de la Justice a cherché à étendre la portée du Communications Assistance for Law Enforcement Act (CALEA), le cadre légal qui définit dans quelle mesure les sociétés privées doivent aider les forces de l’ordre dans l’exécution de la surveillance électronique. Le Congrès a choisi de ne pas introduire une disposition qui aurait forcé les entreprises comme Apple à fournir son assistance pour accéder à des données stockées sur un smartphone. En conséquence, le gouvernement américain s’est reporté sur les tribunaux pour parvenir à ses fins, estime Apple.

Une procédure attaquée de tous les côtés

Dans l’affaire de San Bernardino, le gouvernement a fait appel à l’All Writs Act, une loi de 1789, pour forcer Apple à l’assister. Les avocats de la firme battent en brèche la validité de la procédure. Pour appliquer l’All Writs Act, il faut que celui dont on demande l'assistance ne subisse pas de « charge déraisonnable ». Or, demander à Apple de créer un logiciel qui sape des fonctions de sécurité qu’elle a mis des années à bâtir est déraisonnable, estime la défense. De plus, ce logiciel n’affecterait pas seulement Apple, mais aussi tous les utilisateurs d’iPhone, qui courraient le risque de voir leurs données moins bien protégées si ce logiciel venait à fuiter, arguent les avocats.

Apple conteste aussi l’utilisation de l’All Writs Act en jugeant qu’elle n’est pas concernée directement par l’affaire (c’est une des conditions indispensables pour qu’une entreprise fournisse son aide) : « Apple n’est pas plus connectée à ce téléphone que General Motors l’est à une voiture professionnelle utilisée par un fraudeur sur son trajet quotidien ».

Elle estime aussi que le gouvernement n’a pas su prouver que sa demande était absolument nécessaire pour exécuter le mandat de perquisition. « En effet, le FBI a fermé une piste quand, sans consulter Apple ou se renseigner sur les directives publiques d’iOS, il a changé le mot de passe iCloud associé au compte du terroriste, empêchant ainsi le téléphone de réaliser une sauvegarde automatique iCloud », assène Apple.

Sur ABC News, Tim Cook s’était dit surpris de la façon dont le FBI avait géré l'enquête. Il avait sous entendu que le FBI n'avait pas cherché à collaborer efficacement avec Apple. Le document qui vient d'être communiqué permet d’en savoir plus sur ce qui s’est passé. On apprend qu'avant de déposer sa demande au tribunal, le gouvernement a averti la presse… mais pas Apple. C’est seulement une fois que la demande a été validée par le tribunal qu’Apple en a eu connaissance. Dans le même temps, le gouvernement s’est empressé de la rendre publique. Par ailleurs, en adoptant une procédure dite ex parte, le gouvernement n’a pas permis à Apple de s’exprimer au préalable sur le caractère « raisonnable » de la requête.

Dans un document datant du 22 février, le gouvernement affirme qu’Apple « a expressément convenu de l’aider à accéder aux données de l'appareil ». Au vu de la procédure décrite par Apple, on se demande à quel moment elle aurait pu donner un tel accord.

Les avocats qui défendent Apple estiment aussi que la requête du FBI viole deux amendements de la Constitution. Des tribunaux ayant considérés que le code était une forme de langage (« code is speech »), Apple ne pourrait être contrainte à écrire un logiciel, comme le veut le premier amendement sur la liberté d'expression. L'autre amendement exploité par la défense est le cinquième, qui empêche qu'une personne s'incrimine elle-même. Ici, l'angle est qu'Apple se retrouve obligée à réaliser quelque chose à laquelle elle est opposée.

Jusqu'à dix personnes et quatre semaines de travail pour créer « GovtOS »

La partie technique est également intéressante. Erik Neuenschwander, responsable de la confidentialité des utilisateurs chez Apple, estime que pour « concevoir, créer, valider et déployer » le logiciel demandé par le FBI, il faudrait « six à dix ingénieurs et employés d’Apple consacrant une grande partie de leur emploi du temps pendant un minimum de deux semaines, probablement quatre semaines au total. »
 Pour réaliser ce qu’Erik Neuenschwander appelle « GovtOS », il faudrait des ingénieurs logiciels ayant une parfaite connaissance d’iOS, un ingénieur en assurance qualité, un chef de projet et quelqu’un pour écrire la documentation.

Le responsable de la confidentialité souligne que, si le gouvernement venait à faire pencher la balance en sa faveur et usait de son nouveau pouvoir pour déverrouiller d’autres iPhone, Apple se retrouverait dans la situation ubuesque où elle devrait maintenir « GovtOS » en même temps qu’iOS.

Dans le cas où le gouvernement s’en tiendrait à une unique utilisation, et où Apple devrait détruire « GovtOS », Erik Neuenschwander affirme qu’il serait quasiment impossible de s’assurer que le logiciel soit absolument éradiqué. Et même s’il l’était, les personnes qui l’ont créé sauraient toujours comment le recréer.

La réponse du gouvernement est attendue pour le 10 mars. D’ici là, Bruce Sewell, vice-président et conseiller juridique d’Apple, et James Comey, le patron du FBI, se rencontreront à la Chambre des représentants le 1er mars.

Tags
avatar MacGruber | 

Les étasuniens sont d'une extrême contradiction.

D'un côté ils s'attachent au paiement en cash et aux prix HT, ils souhaitent garder leurs armes...
Et cela par méfiance de leur gouvernement.

De l'autre, c'est vas-y mets la moi bien profondément pour connaître toute ma vie tant que tu me protèges.

Consternant !

avatar Gary94 | 

Nous on est encore au paiement en carte bancaire alors qu'en Afrique ils payent avec leur tel (reportage TF1 du JT de ce soir).
En France c'est la défiance*
On a pas d'armes mais on s'est pris 130 morts en une seule fois (bon aux USA c'est quelques uns mais tous les jours donc ça chiffre vite)

avatar Jetel | 

Il faut aller dormir les petits, il est tard ! Trop tard visiblement.

avatar Fabeme | 

@Gary94 :
Oui alors l'argument des 130 victimes... Le 11 septembre les USA ont pris une confortable avance à cette bataille macabre que tu semble vouloir arbitrer.
Argument franchement sot à mon sens...

avatar Gary94 | 

T'as raison (ironique bien sûr)
J'arbitre pas des chiffres. C'est juste une constatation, un chiffrage. C'est objectif...
Mais encore une fois les USA sont toujours "en avance*. C'est ce que je dis toujours au prof quand j'arrive en retard en cours : des fois c'est préférable de pas être en avance ;-)

avatar Claude Pelletier | 

Et puis en étant attentif moins longtemps que ceux arrivés "comme il faut", tu disposes d' une attention plus soutenue, plus efficace. Moralité : Tu es donc un winner ;—)

Les chiffres avancés (attentats parisiens) sont trompeurs. Ils ne font émerger qu'un tout petit bout de l'iceberg de la menace. Leur choix font apparaître un certain déni.
Pourquoi oublier que ces attentats de masse sont plus fréquents que chez nous ailleurs et quasi quotidiens dans quelques pays très chauds ? On ne fait pas ou plus attention à des tueries quotidiennes en Irak ou en Syrie… Pourquoi les exclure de nos bavardages ? Pourquoi ce présupposé national ?
Il faut faire un effort pour s'extraire de l'idée que les infos placées à la grosse "une" de nos grands médias … ont une importance universelle. Sortir de l'idée que ce qui est essentiel c'est ce qui se passe seulement sur notre palier ou dans notre rue.

avatar hugome | 

@Gary94 :
Hmm, les meurtres par armes aux US c'est 30 par jour. Tous les jours

avatar Gary94 | 

Oui je l'avais dit entre parenthèses dans un précédent commentaire pour éviter une telle réponse

avatar YAZombie | 

Tu essayes d'éviter une réponse valide à un commentaire sot en précisant une fois ailleurs que tu sais que tu dis une sottise ?
Ben dis donc, j'espère que tu n'es pas en khâgne...

avatar Gary94 | 

Ça s'appelle l'anticipation des réactions humaines (qui sont trop prévisibles)

avatar YAZombie | 

Oui c'est ça, d'ailleurs moi j'avais anticipé ta réaction (trop prévisible) dans un commentaire il y a quelques semaines…
La prochaine fois que tu veux anticiper, fais mieux: ne raconte pas de sottises. En plus apparemment pour toi au moins c'est un vrai challenge!

avatar karayuschij | 

Pire que des gamines de 5 ans…

avatar YAZombie | 

Oh, un adulte déresponsabilisé!

avatar enzo0511 | 
avatar Gary94 | 

Pour t'éviter de dire des conneries, faudrait peut-être apprendre à lire et surtout à comprendre le français (à la place de m'envoyer des beaux textes anglais)
Je parlais des armes à feux aux USA et pas seulement du terrorisme. Relis

avatar RoomLight | 

Mais donc ça veut dire que 10 ingénieurs peuvent en un mois créer secrètement un logiciel qui casse la sécurité de iOS, et dans un excès de folie le publier et nous mettre tous à poil numériquement ?

avatar Gary94 | 

Et dans ton cercueil tu seras comment !? À poil

avatar Claude Pelletier | 

Ou en cendres en train de bourrer ton urne !

avatar Gary94 | 

Au moins sur Android tu peux pas avoir ce genre de réflexion sur comment casser la sécurité. Puisqu'il y en a pas (elle est optionnelle)

avatar XiliX | 

@RoomLight :
Oui... mais ce sont des ingénieurs qui travaillent aussi dans le dev d'iOS, donc il le connaît

avatar EBLIS | 

Pas n'importe quels ingénieurs. Ceux qui sont déjà expert en iOS et sa conception, ils ont donc tout à disposition pour le faire contrairement à ceux qui pratiquent le reverse engineering.

avatar TheG | 

J'aimerais bien comprendre ce que font les milliers d'ingénieurs d'Apple si 10 mec leur suffise à créer ça.

C'est flippant que Ca soit possible de le faire

Tu trouve 10 anciens ingénieurs d'Apple qui ont bosse sur iOS et boom!?

avatar Florian Innocente | 

@TheG :
Ce sont "10 mecs" qui doivent détricoter ce qu'ils ont eux-même tricoter. Ils partent nécessairement avec un certain avantage.

avatar nayals | 

@TheG :
Il faut aussi la signature numérique d'Apple pour pouvoir installer le logiciel, j'imagine qu'ils ne se la trimbalent pas sur eux et qu'elle est bien gardée...

avatar BeePotato | 

@ TheG : « J'aimerais bien comprendre ce que font les milliers d'ingénieurs d'Apple si 10 mec leur suffise à créer ça. »

Ben les autres ingénieurs, eux, ils bossent à créer et faire évoluer un OS complet, ce qui demande bien plus de boulot que de faire une modification mineure de l’OS actuel pour en éliminer deux ou trois fonctions de sécurité.

« C'est flippant que Ca soit possible de le faire »

Rappelons qu’on parle bien ici d’une équipe d’une dizaine de personnes ayant déjà une très bonne connaissance de l’OS, ET accès à la totalité du code source de l’OS ainsi qu’à toutes les informations techniques concernant les iPhone et leurs systèmes de sécurité, ET accès à la clé privée permettant de signer leur nouvel OS pour l’installer facilement sur un iPhone, ET ayant l’autorisation de faire ce boulot.
Dans ces conditions, oui, c’est assez rapide de développer un truc permettant de faire ce que demande le FBI.

Mais comme il n’existe actuellement aucune équipe qui réunit toutes ces conditions, il n’y a rien de bien « flippant ». ;-)

Pages

CONNEXION UTILISATEUR