FBI : « Que se passerait-il si les ingénieurs d'Apple étaient kidnappés ? »

Florian Innocente |

Si Apple acceptait de créer un outil pour contourner les mesures de sécurité d’un iPhone, est-ce qu’il n’y aurait pas le risque de le voir tomber ensuite entre de mauvaises mains ? Avec des centaines de millions de terminaux iOS de par le monde, la tentation serait grande pour beaucoup de s’en emparer, que ce soient des gouvernements ou des organisations criminelles.

Cette crainte, qui motive le refus d’Apple d’assister le FBI dans la création d’un “GovtOS” (une version d’iOS capable d’outrepasser les barrières de sécurité de l’iOS installé sur l’iPhone 5c du terroriste de San Bernardino) a été évoquée par l’un des membres du Congrès — Ted Deutch. Hier, avec quelques-uns de ses pairs, il auditionnait le patron du FBI James Comey et Bruce Sewell, le responsable des affaires juridiques d’Apple.

Ted Deutch, membre du Congrès

À cette inquiétude exprimée par Ted Deutch, James Comey a répondu que cela relèverait probablement de la responsabilité d’Apple, mais c’était à la justice de décider d’un protocole :

C'est une bonne question et je pense que c'est quelque chose qui sera solutionné par le juge. Apple affirme, et en toute bonne foi je le pense, qu'il y aurait un risque important à créer ce logiciel. Du côté du gouvernement nous sommes plus sceptiques, même si nous pouvons avoir tort. Je crois que l'argument du gouvernement est que c'est à vous de protéger votre logiciel, vos innovations. D'assurer que cela ne soit utilisable que pour un seul téléphone. Mais encore une fois, c'est quelque chose que le juge va devoir régler. Ce n'est pas une question facile.

Question compliquée en effet. Lorsqu’un logiciel est écrit puis supprimé, à partir de quel moment considère-t-on qu’il a été réellement détruit ? Et le peut-on seulement ? “Non”, avait expliqué la Pomme la semaine dernière dans son objection formelle à la demande du FBI. Erik Neuenschwander, Head of Privacy Engineering chez Apple écrivait :

Même si le code sous-jacent est complètement éradiqué des serveurs d'Apple, de façon à ce qu'il soit irrécupérable, la personne qui a conçu ce code détruit aura passé du temps et fourni des efforts pour répondre aux challenges que constituent sa création, sa mise au point et sa réalisation. C'est un processus qui pourra être réitéré. Dès lors, GovtOS ne pourra jamais être complètement détruit.
James Comey, Directeur du FBI

Ted Deutch relance alors le directeur du FBI, en insistant sur cette hypothèse d’un logiciel qui serait utilisable avec n’importe quel téléphone « Que se passerait-il si les méchants avaient accès à nos téléphones et à ceux de nos enfants, dans ce cas ce sont des [préoccupations] légitimes n’est-ce pas ? ».

« Bien sûr » admet James Comey, et d’estimer qu’il va y avoir un débat pour savoir si cette crainte d’un logiciel qui pourrait se retrouver dans la nature est véritablement fondée ou non. Quitte à s’engager « sur une pente glissante » poursuit le directeur de l’agence fédérale en donnant un autre exemple « on pourrait aussi se dire : ‘Puisque les ingénieurs d’Apple ont cette solution dans leur tête, eh bien que se passerait-il s’ils se faisaient kidnapper et qu’on les forçait à écrire ce logiciel ?’ C’est pour cela que le juge doit dénouer ce contentieux entre les avocats des deux parties qui ont chacune des arguments recevables ».

Si l’on suit le raisonnement du patron du FBI, le risque d’une dissémination incontrôlable de “GovtOS” n’a rien à voir avec cette demande spécifique de ses services. Elle est inhérente à l’existence même des ingénieurs d’Apple qui ont conçu les verrous d’iOS et qui sont en mesure de les casser s’ils le veulent bien. Une éventualité qu’Apple n’a d’ailleurs jamais contesté, en expliquant simplement que cela nécessiterait de faire travailler pendant quelques semaines certains de ses meilleurs ingénieurs iOS.

Est-ce que pour autant il suffirait vraiment de kidnapper quelques-uns des cerveaux d’iOS pour y parvenir ? D’après une source de TechInsider au fait de la politique interne à Apple, les consignes de sécurité en pareille situation sont simples : « accéder aux demandes qui sont faites et faire tout ce qui est nécessaire pour s’en sortir sain et sauf. Faites tout ce qu’ils vous demandent. Inutile de jouer les héros ».

Réunir les compétences capables de mettre au point ce logiciel obligerait aussi à piocher dans plusieurs équipes, ajoute le site. Ensuite, celle qui a la haute main sur la clef capable de signer et authentifier ce logiciel (baptisée Certificate Authority), serait constituée de 5 personnes. Deux au minimum seraient requises pour apporter cette touche finale à ce “GovtOS”. Un tel plan impliquerait donc une certaine organisation…


avatar poco | 

@ Yohmi :
Mes questions ne sont pas plus stupides que ton message. Si tu n'Y réponds pas c'est bien parceque tu n'as pas de réponse "intelligente" Môssieur Einstein.

Je propose une expérience de pensée concrète avec des situations concrètes et possibles. Tu me parle d'une généralité banale (Le crime n'a pas attendu le chiffrement du smartphone pour exister, et en fragiliser la sécurité ne l'arrêtera pas davantage) dont je me fiche je le sais.

Encore une fois mon message n'est pas orienté, ce sont des interrogations.

Si tu es si intelligent réponds à mes questions point par point et argumente au lieu d'insulter et de te défausser dans la banalité de lieux communs.

avatar Yohmi | 

@ poco
Eh oh, tu te calmes bonhomme !
T'as rien compris au problème, et visiblement t'as refusé de lire les autres commentaires qui proposent, comme je te l'ai déjà dit, des pistes de réflexion bien plus larges.
La manière dont tu envisages le problème, c'est que l'iPhone est la solution au crime, tout simplement, c'est en tout cas la manière dont tes questions le présente. Y'a un côté « inéluctable » qui est complètement à côté de la plaque. Or, iPhone ou non, le crime se sert des outils qui lui conviennent. Si c'est pas l'iPhone qui est sécurisé, alors ça sera un service crypté accessible par Internet (un truc à la onion) qui le sera, ou un autre produit, pourquoi pas fabriqué par une organisation criminelle que le FBI pourra s'amuser à attaquer en justice. Au passage, il n'y aura donc plus que les terroristes et les plus calés en informatique qui pourront protéger leurs données. Belle perspective, n'est-ce pas ? En l'occurrence, on ignore totalement si l'iPhone recèle le moindre élément susceptible de faire avancer cette enquête, mais ce dont on peut être sûr, c'est que si ce fameux "govt OS" devient une réalité, ils ne contiendront rien d'intéressant à l'avenir et cette clef ne servira qu'à enfermer des Chinois qui cherchent à connaître l'histoire de leur pays, ou à permettre à des pirates à la gomme de voler des données à des innocents. Wikileaks a démontré que tout peut se retrouver sur Internet. Les sites de rumeurs démontrent que tout se sait, même pour des entreprises qui font tout pour cacher leurs secrets.
J'ignore quelle sera l'issue de cette bataille, mais ce n'est pas un problème à prendre à la légère. On ne va pas interdire les coffre-forts sous prétexte que n'importe qui peut mettre n'importe quoi dedans. Le crime aura toujours une longueur d'avance, car y'a rien de plus simple que de voler, que de tuer. Et ça, iPhone ou non, ça n'y changera rien.

avatar poco | 

Je vois que soit tu est un politicien et tu esquives les questions, soit t'es complètement Apple-lobotomisé. Alors soit, reprenont en changeant iPhone par Samsung Galaxy. Réponds donc à une seule question au lieu de deux (çà ira comme-çà pour que tu comprennes que j'en ai rien à foutre de savoir si c'est Apple, Samsung ou la Mère-Denis?) :

2 - Demain, des bad-guys s'empare d'une arme chimique qu'ils risquent de faire éclater sur NYC. Potentiellement des dizaines de milliers de morts. Nouvelle requête du FBI qui mène l'enquête et pense qu'un objet(TELEPHONE/MACHINE A LAVER/Vibromasseur) retrouvé contient des indices cryptés. Position du fabricant? De la population? des Actionnaires du fabricant? des clients de ce fabricant? La vôtre?

Cà va là? on atteint ton niveau d'abstraction comme-çà?

avatar Yohmi | 

@ poco
Demain, des malfaiteurs s'emparent d'une arme chimique qu'ils risquent de faire éclater sur la ville de New York. Potentiellement, des dizaines de milliers de morts. Le FBI ayant publiquement requis que les produits américains puissent être facilement décryptés sous simple demande, l'enquête finement menée leur permet de débusquer des produits fabriqués par une entreprise d'un pays dont la legislation n'offre pas ce genre de largesse, et le FBI se retrouve dans la totale incapacité d'accéder aux données, contrairement aux malfaiteurs qui possèdent non seulement la clef pour décrypter leurs propres appareils, mais aussi celle pour décrypter les produits de tous les utilisateurs d'appareils commercialisés en Amérique (que l'on trouve sans problème sur PirateBay).
Ta position ?

avatar poco | 

Ma position est qu'à partir du moment où l'on demanderait à une entreprise comme Apple (Américaine) de se plier à une règle Américaine, j'imposerai la même règle aux acteurs étrangers afin d'accéder au marché US. Cette dernière n'est ni une arme imparable, ni la panacée mais c'est une arme. Une des seules qui fassent agir les grandes multinationales : l'arme économique. Si déjà les US et l'Europe interdisaient leurs marché à tout contrevenant, je suis sûr qu'il y en aurait bien un qui s'empresserait de piquer les parts de marché délaissées par les autres.

Quelle est ta réponse à ma question?

PS : Cette conversation est beaucoup plus amusante sans nom d'oiseau, non? Bonne soirée.

avatar Yohmi | 

@ poco
Tu t'es énervé tout seul.

Je ne te suis vraiment pas.
Même si tous les produits commercialisés en Europe et aux États-Unis devaient être pourvus de ce système qui permet à n'importe quelle personne bien ou mal intentionnée d'avoir accès aux données privées des autres (un monde parfait où seuls les honnêtes gens sont impuissants), cela ne changerait rien au fait qu'il est très simple de se procurer des produits qui ne font pas partie de ces circuits. Les armes à feu sans permis en France c'est interdit, non ?
Et si tu crois que la Chine en a quoi que ce soit à faire du droit Américain, du droit Européen, tu vas au devant de grandes déconvenues, c'est mon HiPhone qui te le dit. Et bien sûr, je parle de la Chine, mais demain, ça pourrait être la Thaïlande, l'Inde, ou même le Moyen-Orient. Ça ne rendra pas les outils indisponibles, ni même difficiles d'accès.

La seule conséquence sûre, c'est que cela constituera un nouveau défi à relever pour arriver à mettre la main sur cette clef magique afin de pouvoir accéder aux données privées de tout le monde à leur insu, et ça risque de faire plaisir à une minorité et de causer de gros soucis à une majorité. Et sans résoudre ton problème d'arme chimique puisque si j'avais envie de planquer des infos, j'utiliserais pas un produit fliqué, tout comme quand je parle politique avec mes amis Chinois, on le fait pas sur WeChat.
Que je sache, mon iPhone ne garde pas la trace de tout ce que je fais avec, donc à moins d'avoir conservé l'historique de mes messages sur iMessage et d'avoir parlé de mon arme avec, ça ne servira à rien du tout. Et si c'est iMessage qui n'est plus sécurisé, eh bien je passe sur une autre application avec chiffrement, Russe par exemple, comme ça je sais que le FBI se heurtera à un mur s'ils cherchent à obtenir mon historique que j'ai négligemment oublié d'effacer.

Il y a beaucoup trop de conditions pour que cela se révèle bénéfique, alors que les énormes risques nous pendent au nez.

avatar Un Type Vrai | 

Ce message prouve que tu ne comprends pas le débat.
La voiture retrouvée porte ouverte avec arme dans le coffre était une Opel (peut importe la marque).
Opel doit donc mettre des caméra dans toutes les voitures qu'elle vend et envoyer les images au FBI (peut importe l'organisation gouvernemental).

Combien de temps mettra un hacker à détourner les images ?
Combien de temps mettra un terroriste à identifier et localiser des victimes importantes ?

C'est comme le passeport biometrique. On peut faire exploser une bombe à l'approche d'un américain ( et donc séléctionner ses victimes).

Quand à tes fictions :
De tout temps des gens ont utilisés des moyens pour faire du mal à d'autres gens.

Bref.

avatar Domsware | 

@poco

Autre sujet de réflexion : demain les iPhones ont des portes dérobées et des personnes mal intentionnées profitent des informations soutirées pour organiser des crimes ? Des dizaines de membres de la famille d'agents du FBI sont impliquées suite à cela. Mieux, en explorant ces informations volées des terroristes "s'emparent d'une arme chimique qu'ils risquent de faire éclater sur NYC. Potentiellement des dizaines de milliers de morts."

Alors que pendant ce temps-là les personnes qui veulent vraiment cacher des informations de manière sûre le feront avec les nombreux dispositifs existants ?

avatar perlaurent | 

@Poco, c'est tout le sens de la question . Continuer à améliorer notre bouclier technologique et la surveillance de masse comme on le fait depuis la 2cde guerre mondiale (en passant par la guerre froide) mais que fait on pour régler les problèmes à la source ? Que fait on concernant les nouvelles générations de Kaboul, Gaza ou Mogadisho à qui on enseigne aujourd'hui le maniement des armes et à qui on inculque la haine de l'Occident ? Que fait on pour la Palestine ? On fabrique des murs encore plus hauts et des grandes oreilles pour mieux se protéger qui a amputer les libertés individuelles ? Pensez vous que le terrorisme sera freiné sur le fait même de moyens et protections technologiques ? Vaste sujet

avatar MerkoRiko | 

Pour répondre à la question du titre, je dirais : ils lâcheraient tout pour un big mac...

avatar pfx | 

Il devrait falloir kidnapper plus d'1 ingénieur pour faire ce boulot.... Et que ce soit les bons parmis tant d'autres, et qu'ils aient sûrement accès à des outils et docs grandement gardés...

Donc cette hypothèse est largement moins probable que celle qui imagine la possibilité du vol de cet OS déjà tout fait...

avatar Un Type Vrai | 

oui, mon serveur de sauvegarde est remplis de logiciels et de code qui n'existent plus en production...

avatar DouceProp | 

Bon, le mieux c'est d'interdire tout de suite Apple... Pfff. Hier je lisais le mec du FBI demander en gros : « Que se passe t-il si un terroriste qui vient de se faire sauter a planqué une bombe atomique quelque part, qu'il a marqué l'emplacement dans son iPhone (le con de terroriste) et qu'on ne peut pas lire le contenu de l'appareil... ». Mais attends... Comment se fait-il que le terroriste ait une bombe atomique dans ton histoire ? Il y a des gens qui n'auraient pas fait le taf avant... C'est sûrement et encore la faute d'Apple.
Que se passerait-il si des mecs du FBI étaient kidnappés par des terroristes ? Les mecs du FBI répéteraient tous les secrets aux méchants. Je pense qu'il faut créer un logiciel pour effacer la mémoire des agents du FBI.

Pages

CONNEXION UTILISATEUR