FBI : « Que se passerait-il si les ingénieurs d'Apple étaient kidnappés ? »
Si Apple acceptait de créer un outil pour contourner les mesures de sécurité d’un iPhone, est-ce qu’il n’y aurait pas le risque de le voir tomber ensuite entre de mauvaises mains ? Avec des centaines de millions de terminaux iOS de par le monde, la tentation serait grande pour beaucoup de s’en emparer, que ce soient des gouvernements ou des organisations criminelles.
Cette crainte, qui motive le refus d’Apple d’assister le FBI dans la création d’un “GovtOS” (une version d’iOS capable d’outrepasser les barrières de sécurité de l’iOS installé sur l’iPhone 5c du terroriste de San Bernardino) a été évoquée par l’un des membres du Congrès — Ted Deutch. Hier, avec quelques-uns de ses pairs, il auditionnait le patron du FBI James Comey et Bruce Sewell, le responsable des affaires juridiques d’Apple.
À cette inquiétude exprimée par Ted Deutch, James Comey a répondu que cela relèverait probablement de la responsabilité d’Apple, mais c’était à la justice de décider d’un protocole :
C'est une bonne question et je pense que c'est quelque chose qui sera solutionné par le juge. Apple affirme, et en toute bonne foi je le pense, qu'il y aurait un risque important à créer ce logiciel. Du côté du gouvernement nous sommes plus sceptiques, même si nous pouvons avoir tort. Je crois que l'argument du gouvernement est que c'est à vous de protéger votre logiciel, vos innovations. D'assurer que cela ne soit utilisable que pour un seul téléphone. Mais encore une fois, c'est quelque chose que le juge va devoir régler. Ce n'est pas une question facile.
Question compliquée en effet. Lorsqu’un logiciel est écrit puis supprimé, à partir de quel moment considère-t-on qu’il a été réellement détruit ? Et le peut-on seulement ? “Non”, avait expliqué la Pomme la semaine dernière dans son objection formelle à la demande du FBI. Erik Neuenschwander, Head of Privacy Engineering chez Apple écrivait :
Même si le code sous-jacent est complètement éradiqué des serveurs d'Apple, de façon à ce qu'il soit irrécupérable, la personne qui a conçu ce code détruit aura passé du temps et fourni des efforts pour répondre aux challenges que constituent sa création, sa mise au point et sa réalisation. C'est un processus qui pourra être réitéré. Dès lors, GovtOS ne pourra jamais être complètement détruit.
Ted Deutch relance alors le directeur du FBI, en insistant sur cette hypothèse d’un logiciel qui serait utilisable avec n’importe quel téléphone « Que se passerait-il si les méchants avaient accès à nos téléphones et à ceux de nos enfants, dans ce cas ce sont des [préoccupations] légitimes n’est-ce pas ? ».
« Bien sûr » admet James Comey, et d’estimer qu’il va y avoir un débat pour savoir si cette crainte d’un logiciel qui pourrait se retrouver dans la nature est véritablement fondée ou non. Quitte à s’engager « sur une pente glissante » poursuit le directeur de l’agence fédérale en donnant un autre exemple « on pourrait aussi se dire : ‘Puisque les ingénieurs d’Apple ont cette solution dans leur tête, eh bien que se passerait-il s’ils se faisaient kidnapper et qu’on les forçait à écrire ce logiciel ?’ C’est pour cela que le juge doit dénouer ce contentieux entre les avocats des deux parties qui ont chacune des arguments recevables ».
Si l’on suit le raisonnement du patron du FBI, le risque d’une dissémination incontrôlable de “GovtOS” n’a rien à voir avec cette demande spécifique de ses services. Elle est inhérente à l’existence même des ingénieurs d’Apple qui ont conçu les verrous d’iOS et qui sont en mesure de les casser s’ils le veulent bien. Une éventualité qu’Apple n’a d’ailleurs jamais contesté, en expliquant simplement que cela nécessiterait de faire travailler pendant quelques semaines certains de ses meilleurs ingénieurs iOS.
Est-ce que pour autant il suffirait vraiment de kidnapper quelques-uns des cerveaux d’iOS pour y parvenir ? D’après une source de TechInsider au fait de la politique interne à Apple, les consignes de sécurité en pareille situation sont simples : « accéder aux demandes qui sont faites et faire tout ce qui est nécessaire pour s’en sortir sain et sauf. Faites tout ce qu’ils vous demandent. Inutile de jouer les héros ».
Réunir les compétences capables de mettre au point ce logiciel obligerait aussi à piocher dans plusieurs équipes, ajoute le site. Ensuite, celle qui a la haute main sur la clef capable de signer et authentifier ce logiciel (baptisée Certificate Authority), serait constituée de 5 personnes. Deux au minimum seraient requises pour apporter cette touche finale à ce “GovtOS”. Un tel plan impliquerait donc une certaine organisation…
comme dit précédemment, il va vraiment falloir faire un film/documentaire sur l'histoire :)
+1
Il y a déjà eu ceux sur J.E. Hoover qui ne donnait pas une image reluisante des agences americaines ni du gouvernement en general.
On attend maintenant un sur l'orchestration de la guerre du Golf avec un point d'orgue la prestation absurde et pitoyable de Colin Powell devant l'ONU, sa petite fiole a la main et son sacs de mensonges. Les nombreuses similitudes avec l'histoire actuelle (et ses causalités) en feraient bien une serie...
Pour ceux qui ont raté une petite merveille il faut voir aussi The Imitation Game, traitant lui du chiffrement et de la vie d'Alan Turing. La aussi le gouvernement n'a pas le beau rôle.
Toujours en parlant de la similitude avec les propos menteurs de C.Powell on peut noter : «Si l’on suit le raisonnement du patron du FBI, le risque d’une dissémination incontrôlable de “GovtOS” n’a rien à voir avec cette demande spécifique de ses services.»
Eh bien si justement!
Le fait de démontrer réalisable une chose implique que ceux qui auraient hésiter a la tenter face a l'incertitude de la faisabilité n'auront plus aucun doute.
Non seulement cela encouragerait ceux qui veulent disposer de ce système a faire tout ce qu'il faut pour, le succès étant garanti, mais pire, cela signifie que les ingénieurs qui auraient travaillé sur le projet seraient dorénavant des cibles prioritaires et leurs vies, en plus d'être menacees deviendraient très dures. Cela voudrait dire qu'ils ne pourraient plus sortir du pays et devraient bénéficier d'une protection permanente (en plus d'une surveillance constante)
«Réunir les compétences capables de mettre au point ce logiciel obligerait aussi à piocher dans plusieurs équipes, ajoute le site»
Pas vraiment.
Soit il y a un backdoor et il suffit de cibler l'ingénieur qui l'a conçu.
Soit il n'y a pas de backdoor et l'algorithme de chiffrement est fiable et personne ne peut déchiffrer les données.
Tout repose donc sur la présence d'une faille volontaire.
Question compliquée en effet. Lorsqu’un logiciel est écrit puis supprimé, à partir de quel moment considère-t-on qu’il a été réellement détruit ? Et le peut-on seulement ? “Non”, avait expliqué la Pomme la semaine dernière
Bonjour
Je pense que "Apple" serait mieux que "la pomme" comme vous l'avez écrit.
Merci.
@Perealice :
Excellente blague
« Lorsqu’un logiciel est écrit puis supprimé, à partir de quel moment considère-t-on qu’il a été réellement détruit ? »
Connaissez-vous la pièce assez foldingue de Friedrich Dürrenmatt, Les Physiciens (1962) ? Un physicien de génie se cache dans un asile psychiatrique quand il réalise que sa découverte fondamentale met en péril la planète. Il détruit ses notes. Mais des agents de la CIA et du KGB se font aussi interner pour lui soustraire ses secrets. À la fin, tous se font piéger par la directrice de l'établissement, qui est vraiment folle mégalomane.
Conclusion du physicien: « Ce qui a été pensé, on ne peut plus jamais l'effacer. »
@occam :
"Les physiciens" de Friedrich Dürrenmatt ? Je viens de découvrir cette pièce suisse-allemande. Et la trame narrative a l'air tout simplement génial !
Merci pour cette recommandation :-)
« Ce qui a été pensé, on ne peut plus jamais l'effacer. »
En fait, non. C'est pas ce qui a été pensé mais ce ce qui a été exprimé et réalisé.
Jusqu'a preuve du contraire la lecture de pensée n'existe pas, donc ce qui reste dans le cerveau d'un chercheur est inconnu... jusqu'a ce que quelqu'un conçoive la même chose, le fonctionnement du cerveau humain étant le même.
Dans le cas d'une backdoor et d'un soft de piratage, la question n'est pas de savoir si on peut l'effacer. En fait ça n'a pas de sens.
La seule chose qui compte c'est la preuve de la faisabilité: une fois que l'on sait que c'est faisable, d'autres le feront.
S'il y a une serrure qui accepte deux clés, alors n'importe quel serrurier pourra fabriquer un passe-partout, c'est juste une question temps.
N'importe quel bon hacker fera de la retro-ingenierie et trouvera ce qu'il cherche. On est dans le domaine du calculable.
Et comme disait le prof en 1ere année de sécurité informatique a propos des cybecriminels: il n'y a que les imbéciles qui volent des numéros de cartes bancaires, il est bien plus intelligent d'écrire un programme qui en génère...
Soit vous chipotez sur la sémantique du seul participe "pensé", et là, vous gagnez à coup sûr.
Soit vous faites une analyse un tant soit peu philosophique et scientifique du problème. Alors il est évident que les idées fondamentales n'émergent que très rarement ex nihilo. Autour d'Einstein, il y Poincaré; et Minkowski; et Hilbert; et Grossmann; et Schwarzschild; et Laue, Sommerfeld, Klein, Planck, et j'en passe.
À moins d'imaginer un Alexandre Grothendieck reclus à vie dans sa bergerie de Lasserre, dès sa naissance, et qui n'aurait jamais noté la moindre bribe de tout ce qu'il a pu penser sans mot dire à personne, il est probable que certaines idées de son oeuvre auraient fini par être connues.
Les scientifiques sourds, muets et analphabètes sont rares, tout comme les informaticiens. Ce ne sont pas des trous noirs; il est rare que des idées méritant d'être communiquées ne le soient pas.
« accéder aux demandes qui sont faites et faire tout ce qui est nécessaire pour s’en sortir sain et sauf. Faites tout ce qu’ils vous demandent. Inutile de jouer les héros ».
Ouais pas besoin d'avoir des potes en internes chez Apple pour la connaitre cette phrase... N'importe qui ayant travaillé dans une boutique brassant beaucoup d'argent ou des produits cher l'a déjà entendu...
Ça devient ridicule cette affaire... Le FBI a embauché des scénaristes d'Hollywood pour élaborer de telles intrigues ?
...Surtout qu'il y a déjà ceux qui ont développé le Macpro, les cartes graphiques de ouf et la suite iWork qui sont kidnappés depuis... combien de temps déjà ???
@YARK :
Haha pas mal celle-là
@YARK :
:D
@YARK :
ahah pas mal
J'imagine déjà le FBI infiltrer des agents au sein de l'équipe développement :-P
Si c'est les mêmes qui ont ordonné la modification du mot de passe iCloud ça va être coton...
Vu les enjeux colossaux qu'entraînent la création de ce super OS capable de faire sauter les verrous de l'iPhone alors ne vaut-il pas mieux le confier à une haute autorité plutôt qu'aux seuls ingénieurs d'Apple ? C'est vrai après tout il s'agit d'un enjeu de sûreté nationale. Des agences tels que la CIA le FBI ou la NSA font un travail similaire dans d'autres domaines. Alors pourquoi pas imaginer une agence de cyber espions qui auront la main sur ce govtOS et qui travailleront sous l'autorité d'un juge pour éviter les dérapages. La problématique dépasse Apple pour le coup.
@Niro :
T'as entendu parler de Snowden?
J'imagine que C est le cas. Et tu veux donner cette responsabilité à une agence de cyber espions?
Autant craquer iOS et balancer le fichier sur pirate bay. Ça fera moins de dégâts que la solution que tu proposes.
Faut envoyer Hollande Valls Désir
Ça devient n'importe quoi ce débat.
Il faut revenir aux fondamentaux. Avant iOS 8, le contenu de l iPhone n'était pas crypté', et pourtant mes données étaient à l abris des voleurs car je pouvais déjà verrouiller et effacer mon iPhone à distance. De plus, avec le système verrouillé de l App Store il n'y avait déjà aucun virus.
Bref, qu'est ce qui a changé en deux ans pour qu'on cryptage de l appareil soit nécessaire ? Rien.
L'affaire Snowden ? On parle pas dans ce cas d'accès physique à un appareil, mais d'interceptions des communications. Crypter les échanges ok, mais les appareils on nage dans le délire, alors qu'en parallèle TOUT LE MONDE balance plein d'infos personnelles dans le cloud (même sans le savoir sur iCloud pour la plupart des utilisateurs) et sur les réseaux sociaux. Le danger ne sont pas les gouvernements, mais les utilisateurs eux même.
@TheRV :
"Le danger ne sont pas les gouvernements, mais les utilisateurs eux même."
Houlà...
C'est pas parce que ces gens sont des bras cassés inconscients qu'il faut les laisser à leur sort.
« Que se passerait-il si les ingénieurs d'Apple étaient kidnappés ? »
Eh bien le FBI enverrait son meilleur agent sur le sujet, à savoir Fox Mulder.
Et ce serait le signe d'une manipulation de l'homme à la cigarette pour une sombre histoire de nano-technologie crypto-toxique qui empoisonne le monde afin d'asservir la race humaine.
Bref c'est la merde.
La vérité est ailleurs, trust no 1 x)
Lamentables les procédures américaines ! Des informations comme celles-ci ne devraient pas être publics !!! La force et la faille de ce modèle de transparence.
@philiipe :
C'est ce que je me disais aussi. C'est une incitation au kidnapping :(
Vous croyez vraiment que ceux qui auraient à la fois les moyens et la motivation pour passer à l'acte seraient redevables d'un hearing public ? Ils ne seraient pas capables de tirer leur conclusions tout seuls ?
@occam :
Un "hearing" publique ?
Rhôoo il en connaît des mots le mec !
Mais s'il le disait en cefran, ça serait plus plat. Ça en jetterait moins ! En plus on verrait clairement que la phrase qui suit n'a pas vraiment de rapport. :-D
« Que se passerait-il si les ingénieurs d'Apple étaient kidnappés ? »
Le FBI serait bien embêté pour demander à Apple de leur créer une porte dérobée :)
Et que se passerait-il si des agents du FBI, de la NSA, de la CIA ou d'autres officines à triglyphe étaient soit enlevés, soit retournés, soit achetés, soit des "sleepers" de longue date ? Où même simplement s'ils piquaient une crise de conscience à la Snowden ? Cela s'est vu partout, dans toute histoire des services secrets.
Déjà à Rome du temps de Juvénal, c'était un lieu commun : Quis custodiet ipsos custodes ? « Mais qui gardera ces gardiens ? »
Le contexte, chez Juvénal, était plus salace : il s'agissait des gardiens chargés de garder la vertu des jeunes Romaines. Mais le satiriste romain avait saisi, il y a 2000 ans, toute la logique de l'agent de pénétration : « Un crime partagé se dissimule : la coquine le sait bien, et c'est par eux [= les gardiens] qu'elle commence. »
Apple a raison. Ce genre de question doit être résolue par la loi, pas par la Justice. Mais en France, ça ne ferait pas un pli.
Les portes dérobées, c'est une très mauvaise idée, il n'y a aucun doute là-dessus. Je n'ai pas envie de voir ni Apple, ni un gouvernement, ou un pirate, aller fouiller dans mes affaires, même si nous ne savons pas tout. En plus de cela, toute installation technique serait vulnérable et les attaques très faciles pour des terroristes, des états, des organisations.
Techniquement, je pense qu'il faut trouver une solution avec tiers garants.
J'essaie de m'expliquer : trouver un système de chiffrement où l'utilisateur devrait déposer des bribes de sa clé privée chez au moins 2 autorités (le constructeur et le gouvernement, par exemple) qui, à elles seules, ne seraient pas en mesure de reconstruire facilement la clé d'origine. Seul un juge pourrait ordonner la mise à disposition de ces bribes pour obtenir la clé privée en cas d'enquête. C'est une idée, je ne sais pas si elle est bonne, je souhaite simplement qu'elle puisse faire débat.
J'y vois, par exemple, des objections en matière de piratage des deux bases de clés partielles, de collaboration cachée entre les 2 autorités, mais avec 3 ou 4 autorités (à définir quelle entité ; citoyen lambda, entreprise, université, réseau…) ça deviendrait nettement plus compliqué.
La sécurité (dans tous les domaines, par seulement informatique) absolue n'existe pas, il y aura toujours des failles ou des possibilités d'attaques.
Ellipse
C'est une bonne idée.
Et aussi ajouter non pas qu'une solution logicielle, mais aussi un accès obligatoirement physique.
Le terme "méchants", c'est de l'ironie du rédacteur ou la preuve du niveau du manichéisme enfantin dans lequel nous sommes tombés ?
@Madalvée :
c'est juste la traduction de l'américain "bad guys"...
bad guy c'est mauvais garçon, pas méchant…
@Madalvée :
La défense du FBI suit cette logique, c'est le terme approprié. J'ai hâte qu'ils parlent enfin du vrai sujet : Et si Hitler avait eu un iPhone ? En plus de son caméscope Natachi, bien sûr.
Au moins il y a des personnes cultivées dans ce ramassis de non-sens :-)
F.B.I : Foire aux Bestiaux Imbéciles
Je pense qu'on va voir des ingénieurs APPLE kidnappés d'ici peu ...
@wilfried50
"Je pense qu'on va voir des ingénieurs APPLE kidnappés d'ici peu ..."
Bah... Ils ont déjà eu des iPhones kidnappés, alors ils savent comme s'y prendre. :-)
En résumé, pour le FBI, forcer la création d'un truc ne les rend pas responsable sur l'existence de à ce truc...
Heu...
Le feuilleton continue
Apple fabriquera bientôt ses téléphones aux USA (Dixit Trump) en collaboration avec des ingénieurs du gouvernement. Tous les téléphones seront codés avec un logiciel GovtOS (Gouvernement Oncle Sam). La NSA proposera egalement des services Cloud aux utilisateurs du monde entier avec des CGU et droits de propriété des informations amplement simplifiées et sans surprise :)
Certes, il ne faudra ne pas non plus que ses ingenieurs soient kidnappés ...
Puisque nous sommes dans la fiction, je vous propose un sujet de réflexion :
1 - Dans l'affaire qui nous préocupe, il y a eu 14 tués à San Bernardino. Apple refuse de se soumettre à la demande du FBI (je ne juge pas ni l'une ni l'autre des positions Apple vs FBI).
2 - Demain, des bad-guys s'empare d'une arme chimique qu'ils risquent de faire éclater sur NYC. Potentiellement des dizaines de milliers de morts. Nouvelle requête du FBI qui mène l'enquête et pense qu'un iPhone retrouvé contient des indices. Position d'apple? De la population? des Actionnaires d'Apple? des Propriétaires d'iPhones? La vôtre (cas 1 et 2 pour comparer)?
3 - Demain, scénario légèrement différent, cette fois-ci ce sont les enfants (Ecole proche de Cupertino par exemple) de dizaines d'employés Apple qui sont pris en otage. Même chose avec le FBI qui essaie de résoudre le problème. Que fait Tim? Que fait iCahn si ses enfants sont dans le groupe pris en otage?
Question subsidiaire : A partir de combien de morts (potentiels ou pas) Apple (ou Facebook, Google etc…) collaboreront-ils avec la justice? Ce pouvoir de décision peut-il être laissé à une entreprise privée au dessus des gouvernements?
@poco :
Justement. Apple en appelle à la justice alors que le FBI fait pression en rendant la chose publique.
Ce débat est stupide, si Apple crée une porte dérobée, les terroristes utiliserons une application de type coffre fort numérique pour stocker leurs informations et des messageries cryptée de type Signal sur lesquels Apple n'a pas la main. Donc c'est stupide apple va pouvoir accéder aux téléphones du tueur mais les terroristes utiliserons d'autres solutions dans le futur, ça ne résout donc rien. Cela crée juste un risque pour l'utilisateur lambda de voir ses données personnels disséminées dans la nature.
@poco :
Ton sujet est orienté et prend parti pour la surveillance (y compris par les gouvernements qui ne respectent pas les droits de l'homme, par exemple). Ce n'est pas l'iPhone le problème ni la solution.
Mon sujet n'est PAS orienté. D'ailleurs je n'ai jamais exprimé mon opinion là-dessus, exprès afin de ne pas orienter les réponses.
Par contre je vois qu'il n'y a personne pro-Apple ou Pro-FBI qui ait donné une réponse à mes questions, ni argumenté sur le sujet. Que des critiques de position, de non compréhension, des parti pris partisans, mais pas de réponse directe argumentée.
Il est aujourd'hui facile d'avoir une opinion tranchée Pro-Apple ou Pro-FBI, mais il est difficile d'aller plus loin dans les argumentations des deux côtés. Le sujet est complexe et pose un vrai problème de société.
De toute façon tous ceux qui pleurent sur leur vie privée devraient déjà éviter d'utiliser un smartphone, le Cloud, Facebook etc… pour y déposer leurs petits secrets.
Pour détendre l'atmosphère :
Ceux qui naviguent sur des sites "cochons" en navigation privée s'exposent potentiellement plus à la vue d'yeux étrangers et intéressés que ceux qui allaient louer des vidéos coquines au vidéo-club du coin de la rue.
@poco :
Si, ton sujet est totalement orienté car il prend le problème sous un seul angle. J'ai l'impression que tu ne lis pas avec attention les commentaires, beaucoup proposent des pistes de réflexion qui vont bien au-delà du cadre que tu délimites. Je pourrais répondre à tes questions qui m'apparaissent stupides vu qu'elles prennent le problème à l'envers (exactement comme le fait actuellement le FBI), mais les réponses seraient du coup tout aussi stupides. Je le dis, je le répète, le smartphone n'est pas le problème ni la solution. Le crime n'a pas attendu le chiffrement du smartphone pour exister, et en fragiliser la sécurité ne l'arrêtera pas davantage.
Pages