Apple aurait renoncé au chiffrement de bout en bout des sauvegardes dans iCloud

Mickaël Bazoge |

Apple a renoncé à chiffrer l'intégralité des sauvegardes iCloud il y a deux ans, selon Reuters. C'était pourtant la suite logique du chiffrement de ces mêmes données via iTunes (ou le Finder depuis macOS Catalina), et la continuation des mécanismes de sécurité qui empêchent un tiers de pénétrer par effraction dans un appareil iOS. Du moins pas sans l'aide d'un outil comme celui de Cellebrite.

En mars 2016, alors que le débat autour de l'iPhone du tueur de San Bernardino faisait rage, des rumeurs annonçaient la volonté d'Apple de chiffrer aussi de bout en bout les sauvegardes iCloud. Actuellement, Apple possède une clé de déchiffrement de ces données : avec un chiffrement complet, la Pomme serait dans l'impossibilité de fournir au FBI et autres agences de sécurité à acronymes des informations pouvant s'avérer décisives pour des enquêtes en cours. Plusieurs types de données sont déjà chiffrés de bout en bout dans iCloud, comme les informations de paiement, de Santé, Maison, ou encore les mots de passe du trousseau iCloud et les Messages sur iCloud (lire : iPhone : ce qui n’est pas chiffré, ce qui l’est, et ce que cela signifie pour vos données).

Apple aurait abandonné les projets Plesio et KeyDrop, noms de code internes du développement du chiffrement iCloud, il y a deux ans. Une dizaine d'experts étaient attachés au dossier. Reuters avance deux raisons : Apple a pris conscience que ce dispositif allait « verrouiller » dans le nuage les données de nombreux utilisateurs, les rendant impossible à restaurer.

Autre raison, et rien ne dit que les deux n'aient pas pesé de tout leur poids pour contraindre Apple à abandonner l'idée, le FBI a fait part de ses craintes. Peu de temps après en avoir été informés, des représentants du Bureau ont expliqué au constructeur que ce chiffrement des données iCloud allait leur retirer un moyen très efficace de collecter des preuves.

Une des sources de l'agence de presse, un ancien employé d'Apple visiblement au fait de l'affaire, indique que l'argument a porté. La Pomme n'a pas voulu porter le blâme en public : pas question d'être l'entreprise qui « protège les criminels », d'être poursuivi en justice pour stocker des informations en dehors de portée des forces de l'ordre, ou encore de servir de raison à la mise en œuvre d'une législation contre le chiffrement.

Apple aurait donc décidé de faire un compromis. À côté du discours public très ferme de Tim Cook et d'Apple pour la confidentialité des données, le groupe continue d'épauler le FBI et les forces de l'ordre dans leurs enquêtes. Il leur fournit toutes les données en sa possession, des informations qui proviennent du nuage d'iCloud (lire : Rapport sur la transparence : le nombre de requêtes en France stable d'un semestre à l'autre).

Et malgré les exigences des organisations de libertés publiques comme l'EFF, qui a demandé l'an dernier à Apple de « jeter la clé » des sauvegardes chiffrées d'iCloud, l'entreprise a fait le choix du pragmatisme. Cela paiera peut-être, alors que le constructeur est embarqué dans une nouvelle polémique contre l'administration Trump (lire : Pensacola : le gouvernement américain joue-t-il franc jeu avec Apple ?).

Image d'accroche : Steve Buissinne, Pixabay

avatar ClownWorld 🤡 | 

Merci les groupes de pression, je ne sais pas ce que nous, clients et citoyens gagnons, mais je sais qu’on perd des données privées merci les gars continuez

avatar Godverdomme | 

Pourtant, si ces données sont accessibles seulement sous mandat par le gouvernement, je serais heureux qu'elles puissent m'innocenter. Comme ils ont le droit de perquisitionner mon domiciler, fouiller mes poubelles, renifler mes vieilles capotes, tout ce qui peut être utilisé pour m'innocenter est le bienvenu.
Et si en plus cela peut mettre en péril les activités de vrais criminels, je dis oui!

Et si je veux des choses vraiment privées, il me semble évident de ne pas les stocker sur iCloud ou tout autre service tiers, évidemment.

avatar ClownWorld 🤡 | 

@Godverdomme

Oui un mandat d’un juge.
Mais les flics et autres sont toujours borderline avec la procédure

avatar oomu | 

"Oui un mandat d’un juge."

La Police française n'a pas besoin d'un mandat (du juge ou de ma grand mère) pour perquisitionner chez vous. Un serrurier ou un bélier lui suffit (légalement).

De même, elle n'a pas besoin de mandat pour fouiller vos poubelles.

par exemple, lors d'une enquête préléminaire (on pense que vous êtes louche et que si on regardait sous votre lit, ça confirmerait gros), alors pour les infractions punies de plus de 3 ans de prison, le juge des libertés et de la détention peut autoriser une perquisition sans l'accord de l'occupant.

Si vous n'êtes pas là, la police aura besoin de trouver deux témoins adultes (n'importe qui sauf les policiers eux même, lol!). Par exemple, moi qui passe dans la rue et qui est toujours volontaire pour assister l'Autorité et un autre gugusse/gonzesse, genre voisin.

avatar ClownWorld 🤡 | 

@oomu

Tu connais rien à la justice, c’est le procureur (un juge) qui donne l’accord pour une perquisition
Maintenant avec les nouvelles lois transposées de l’état d’urgence t’as peut être raison mais en temps normal non
En plus tu confirmes que c’est le JDL qui décide

avatar oomu | 

c'est juste que j'étais parti du principe d'avoir l'accord de l'occupant pour une première enquête. et en cas de flagrance.

Un officier de police judiciaire n'a pas besoin de demander un mandat.

avatar Ali Ibn Bachir Le Gros | 

@ClownWorld 🤡

Tu connais rien à la justice, c’est le procureur (un juge) qui donne l’accord pour une perquisition

Tu aurais pu commencer par une introduction un peu plus polie, surtout lorsque ce que tu dis est faux et démontre que tu ne connais pas la procédure pénale toi-même.

En enquête de flagrance, l'officier de Police judiciaire peut mener des perquisitions de sa propre initiative. C'est l'article 56 du code de procédure pénale qui le prévoit.

avatar ClownWorld 🤡 | 

@Ali Ibn Bachir Le Gros

en enquête de flagrance
Merci d’avoir précisé

avatar Ali Ibn Bachir Le Gros | 

@ClownWorld 🤡

En préliminaire, c'est bien le JLD qui peut l'autoriser en l'absence de consentement de l'intéressé, pas le parquet.

avatar ClownWorld 🤡 | 

@Ali Ibn Bachir Le Gros

Donc un juge

avatar Ali Ibn Bachir Le Gros | 

@ClownWorld 🤡

La perquisition en préliminaire sans le consentement de l'intéressé est une exception. La plupart des perquis on les fait en flagrance.

avatar ClownWorld 🤡 | 

@Ali Ibn Bachir Le Gros

Ah t’es flic alors

avatar Ali Ibn Bachir Le Gros | 

@ClownWorld 🤡

Et impatient de recevoir des cours de droit pénal dispensés par des spécialistes de tout sur les forums.

avatar ClownWorld 🤡 | 

@Ali Ibn Bachir Le Gros

Je suis passé sous les fourches caudines de tes collègues je parle pas sans connaître

avatar Marco787 | 

@ ClownWorld

Vous indiquez : "Tu connais rien à la justice, c’est le procureur (un juge) qui donne l’accord pour une perquisition"

Procureur et juge sont deux fonctions et personnes très distinctes. Votre affirmation est donc incorrecte.

avatar maoussem | 

Ce qui est très gênant dans ton commentaire c'est que tu pars du principe qu'il faut que tu perdes toute vie privée pour t'innocenter.

Pour rappel c'est à l'accusation de prouver que tu es coupable, pas l'inverse.

avatar Godverdomme | 

Perdre toute vie privée, pardon?

Es tu au courant qu'un policier sous mandat peut rentrer dans ton domicile? Est ce que l'endroit ou tu vis, tu dors, as des relation avec ton ou ta compagne n'est pas plus important que ton téléphone?

Sous mandat, il semble logique que l'on puisse rentrer dans tes affaires, et qu'un coupable soit condamné plutôt que quelques geeks qui mettent leur vie sur Facebook et se sentent des pros da la vie privée.

Petit exemple simple qui s'est déroulé il y a deux ans, un connard à la piscine municipale qui tend son téléphone par dessus les cabines, et prend des photos d'enfants nus et de filles, dont ma compagne. On a pu le bloquer avant la sortie et appeller la police, qui a pu déverouiller son téléphone. Si cela avait plus loin, devant le juge et qu'en mendatant la police on ne peut pas ouvrir un téléphone dans de tels cas, je t'assure que tu as completement raté ton jugement et je t'invite à réfléchir.

Vie privée ne veut pas dire impunité, avec ce que tu dis, on a l'impression qu'il suffirait de télécharger openiPhone.exe ou .dmg, l'installer, et que l'on peut ouvrir n'importe quel téléphone.
Si tu as des infos privées, ne les uploade pas sur un serveur tiers, et garde les pour toi, Sherlock

avatar nespresso92 | 

@Godverdomme

+1 Merci. Enfin, un commentaire sensé.

avatar Ali Ibn Bachir Le Gros | 

@Godverdomme

Es tu au courant qu'un policier sous mandat peut rentrer dans ton domicile?

Petit enfilage de mouches : aux États-Unis. Le mandat de perquisition n'existe pas en droit français.

Code de procédure pénale, article 53, alinéa premier :

Est qualifié crime ou délit flagrant le crime ou le délit qui se commet actuellement, ou qui vient de se commettre. Il y a aussi crime ou délit flagrant lorsque, dans un temps très voisin de l'action, la personne soupçonnée est poursuivie par la clameur publique, ou est trouvée en possession d'objets, ou présente des traces ou indices, laissant penser qu'elle a participé au crime ou au délit.

Code de procédure pénale, article 56, alinéa premier :

Si la nature du crime est telle que la preuve en puisse être acquise par la saisie des papiers, documents, données informatiques ou autres objets en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces, informations ou objets relatifs aux faits incriminés, l'officier de police judiciaire se transporte sans désemparer au domicile de ces derniers pour y procéder à une perquisition dont il dresse procès-verbal.

avatar nespresso92 | 

@maoussem

Cela dépend du pays où a eu lieu le délit. Par exemple, au Japon c’est l’opposé des USA.

avatar oomu | 

"Pour rappel c'est à l'accusation de prouver que tu es coupable, pas l'inverse."

C'est avec des idées comme celle là qu'on bride les dominateurs de foutre en l'air toute personne sur le passage. Comment voulez vous vous accaparer leur business, filles et maison avec de telles limites ?!!!! Vlà qu'il faut justifier à l'avance et avec des faits en plus...

Ne sommes nous pas dans la POST-Vérité ?! C'est à dire que les FAITS ont les invente A POSTERIORI !

BFMTV m'a encore menti !

(j'aurais bien écrit "la télé" ou "les médias" (vendu au grand capital), mais n'étant pas sur qu'un jeune puisse me comprendre, j'ai donc décidé d'utiliser le mot moderne "bfmtv")

avatar oomu | 

"Comme ils ont le droit de perquisitionner mon domiciler, fouiller mes poubelles, renifler mes vieilles capotes, tout ce qui peut être utilisé pour m'innocenter est le bienvenu."

ce n'est pas ainsi que fonctionne la police en France.

La police en France enquête à CHARGE, c'est à dire qu'elle cherche ce qui vous incrimine. Pas pour savoir si vous êtes innocent.

---
"Et si je veux des choses vraiment privées, il me semble évident de ne pas les stocker sur iCloud ou tout autre service tiers, évidemment."

on est d'accord : icloud continuera de rester inutile pour ce besoin.

---
Sinon, à vous lire, je pense que vous avez des réflexes de personnes ayant vécu sous des régimes autoritaires et qui y adhère idéologiquement. Et que vous partez du principe que la Fin Justifie Les Moyens.

avatar nespresso92 | 

@oomu

« La police en France enquête à CHARGE, c'est à dire qu'elle cherche ce qui vous incrimine. Pas pour savoir si vous êtes innocent. »

Godverdomme n’a jamais tenu de tel propos. Il a simplement parlé de perquisition.

« Sinon, à vous lire, je pense que vous avez des réflexes de personnes ayant vécu sous des régimes autoritaires et qui y adhère idéologiquement. Et que vous partez du principe que la Fin Justifie Les Moyens. »

C’est plutôt présomptueux de votre part de tenir de tels propos. Au regard de son commentaire il parle plutôt en tant que compagnon de la victime qu’était sa partenaire.
C’est toujours le même problème, il faut que les personnes deviennent victimes d’un délit pour qu’elles changent leur avis / opinion sur le sujet.

avatar oomu | 

"C’est plutôt présomptueux de votre part de tenir de tels propos"

très présomptueux. Limite tête à claque d'internet.

-
"Au regard de son commentaire il parle plutôt en tant que compagnon de la victime qu’était sa partenaire."

STOP ! Y a ici la limite du système de discussion de macg. J'ai commencé à écrire ce commentaire avant le commentaire de l'affaire grave des photos (j'ai rien à y redire).

Il va de soi que mon commentaire n'est pas en lien avec le commentaire concernant la piscine.

" C’est toujours le même problème, il faut que les personnes deviennent victimes d’un délit pour qu’elles changent leur avis / opinion sur le sujet."

Cela va de soi. Sordide nature humaine.

Mais rassurez vous, j'ai aussi eu mon lot.

avatar byte_order | 

@nespresso92
> C’est toujours le même problème, il faut que les personnes deviennent victimes d’un
> délit pour qu’elles changent leur avis / opinion sur le sujet.

Cela marche aussi dans l'autre sens :

Il faut que des personnes deviennent victimes d'un abus d'autorité pour qu'elles changent leur avis / opinion sur le sujet. Les lanceurs d'alertes qui ne sont pas convenablement protégés, voire, pire, au contraire traquées par l'autorité.

Un bouclier protège indifféremment une victime qu'un agresseur, tout dépend quel est l'intérêt de la personne qui le contrôle.

En matière de sécurité, le problème premier c'est qui la contrôle, et qui contrôle cette personne qui contrôle la sécurité.

avatar nespresso92 | 

@byte_order

Certes, mais statistiquement il y a plus de victimes de délits que liées à un abus d’autorité, pour ce qui est des pays démocratiques.

Concernant la sécurité, le choix reste limité. Soit elle confiée, comme c’est le cas aujourd’hui aux politiques, soit aux entreprises privées. Il me semble donc que la question ne se pose donc pas.

avatar Ali Ibn Bachir Le Gros | 

@oomu

La police en France enquête à CHARGE, c'est à dire qu'elle cherche ce qui vous incrimine. Pas pour savoir si vous êtes innocent.

Non. La Police judiciaire constate les infractions à la loi pénale, recherche les auteurs et réunit les preuves afin de les présenter à la justice. En France la Police judiciaire n'enquête pas à charge.

avatar Rez2a | 

Et voilà, Cook s’est foutu dans une position intenable tout seul comme un grand. Bien fait pour lui.

J’espère vraiment qu’à défaut de le faire sauter du poste de CEO, ça suffira à lui faire passer l’envie de prendre la parole en public sur ses soi-disant valeurs sur lesquelles il ne se compromet pas blablabla.

avatar Sgt. Pepper | 

@Rez2a

Tu mélanges tout mon petit Pauvre 🤦‍♂️

Apple ne fait pas de business des données privées.
A des années lumières de Google

avatar JOHN³ | 

@Rez2a

L’après Cook sera terrible, ils remettront un pro du Coca Cola sur les rails,
Mais ton point de vue est intéressant vas-y continu

avatar oomu | 

"L’après Cook sera terrible, ils remettront un pro du Coca Cola sur les rails,"

pourquoi pensez vous que le conseil d'administration d'Apple va subitement prendre un joueur de Golf (ou autre patron qui s'emmerde) après Timmy alors qu'il aurait déjà pu le faire pendant le cancer de Stevie ?

avatar JOHN³ | 

@oomu

J’ai une vision assez pessimiste du patronat en ce qui concerne Apple en l’absence de steevie

avatar oomu | 

Steevie était assez "peu commun" ok

Mais il n'est pas la fin de l'humanité. Après lui n'est pas le déluge.

et ce ce que je veux dire , le déluge aurait pu commencer dés sa mise en retrait. Mais y a eu timmy, un ancien de la boite, qui reste en gros dans les acquis et les pratiques d'Apple depuis Steve.

Pourquoi pas la même chose encore demain ? Le profit semble suffisamment gros pour laisser dormir tout investisseur et administrateur.

avatar JOHN³ | 

@oomu

Je l’ai dit un certain pessimisme !

avatar Pierredu21 | 

Il me semble que c'est un compromis raisonnable : si on veut plus de sécurité, on ne sauvegarde pas ses données sur iCloud / si on veut plus de souplesse, (mais un peu moins de sécurité), on peut sauvegarder sur iCloud ! Tout le monde est content comme ça !

avatar Sgt. Pepper | 

Cela se comprend avec la pression du Gouvernement US.
Le cloud reste optionnel, le Compromis a du sens et si cela permet de garder l’iPhone sans backdoor...

Dommage de n’avoir au moins apporté le chiffrement à Drive en option 😩
(Comme pour Note 👍)

avatar oomu | 

il est évident qu'une "backdoor" (laquelle ? saboter AES ? Mentir aux consommateurs ?) est tout aussi absurde que rien proposer qu soit entièrement sous le seul et plein contrôle de l'utilisateur.

avatar SyMich | 

Vous voulez dire que ce qu'Apple écrit sur cette page https://support.apple.com/fr-fr/HT202303 concernant le chiffrement des sauvegardes (AES 128bit minimum) serait du bullshit??? 🥺
Et donc j'imagine que le reste des informations distillées sur cette même page est tout aussi fiable, non?

C'est notre petit Lucas qui va faire des cauchemars après une telle nouvelle 🥴

avatar reborn | 

@SyMich

On parle de la sauvegarde iCloud ici, et Apple ne s’en ai jamais caché ils disposent de la clé de la sauvegarde iCloud.

Si la sauvegarde iCloud est activée, une copie de la clé protégeant vos messages est incluse dans votre sauvegarde

avatar Sgt. Pepper | 

@SyMich

🤡 tu confonds VOLONTAIREMENT

- chiffrement de bout en bout avec Secure Enclave (seule iPhone User peut déchiffrer) - ce qui était à l’étude ( le cas pour data de santé)

- et chiffrement par Apple (que la page décrit)

avatar Krysten2001 | 

@SyMich

Faut juste bien lire la page ;) on parle de la clé que possède Apple où elle aurait pu la retirer mais n’a pas voulu mais qui va peut-être le faire au vu des événements ;) il ne faut pas confondre le chiffrement de bout en bout avec le reste ;)

avatar oomu | 

"Vous voulez dire que ce qu'Apple écrit sur cette page https://support.apple.com/fr-fr/HT202303 concernant le chiffrement des sauvegardes (AES 128bit minimum) serait du bullshit??? 🥺"

non, ce qu'explique Apple sur cette page est parfaitement valide, cohérent, intéressant, pertinent et Apple est claire et nette.

C'est juste qu'elle avait annoncé y a un petit moment travailler à aller ENCORE PLUS LOIN que ce que CETTE page décrit. Faire du chiffrement "point à point". (c'est mieux, du point de vue de l'utilisateur).

Mais Apple y aurait renoncé, DONC CETTE PAGE va rester VALIDE et PERTINENTE pour encore longtemps.

En gros : tout va bien, le webmestre Apple et l'avocat Apple n'ont rien à changer :)

avatar SyMich | 

Je me referai au titre initial de l'article qui était "Apple aurait renoncé au chiffrement des sauvegardes iCloud", et qui, depuis, est devenu "Apple aurait renoncé au chiffrement DE BOUT EN BOUT des sauvegardes iCloud"

avatar reborn | 

Sauvegarder en local, puis envoyer la sauvegarde sur un cloud zero knowledge 👌

avatar Sgt. Pepper | 

L’important reste LARGEMENT de ne pas utiliser note vie privée pour du Business à la Google ☠️

Du moment qu’Apple garantie la sécurité de data iCloud.
Si c’est pour tout chiffrer et ajouter une backdoor ensuite : on ne serait pas plus avancé

avatar oomu | 

"Du moment qu’Apple garantie la sécurité de data iCloud."

Apple ne peut pas garantir d'un jour se faire voler (physiquement, genre effraction d'un centre d'hébergement et vol de donnée, par faille de sécurité en ligne),
ou un jour de changer de politique et tout miner pour de la pub/manipulation politique,
ou que tout soit jeté au bureau du Président Du Jour El Maestro Premier ou faire du dataminer de nos données pour dénoncer les Geeks aux FaNascistes du jour.

Nul ne sait de quoi l'avenir est fait. Ni l'imagination des margoulins pour trouver quoi foutre de vos documents.

Un chiffrement point à point donne les clés d'accès dans uniquement VOS mains (après si vos mains sont poreuses.. bon ben là...z'êtes mal ^^, ). Bien entendu, un algo de chiffrement qui aurait secrètement une clé maîtresse, ça n'a aucun intérêt pour l'utilisateur, et serait du sabotage. Evidemment. (où si y a une faille mathématique facile à exploiter, idem).

-
Alors pour ce qu'on y fout, c'est sûrement exagéré de faire son parano car on peut se dire que ça n'a aucune importance, mais c'est bien de le mesurer et de choisir en toute conscience.

avatar SyMich | 

On peut tout de même se demander si Apple ne s'autorise pas dès aujourd'hui, à jeter un œil à ces sauvegardes iCloud qui comportent des infos potentiellement intéressantes sur l'ensemble des apps utilisées sur notre iPhone ou iPad (et pas seulement les apps Apple) et les données de ces apps ...
Je ne pense pas avoir lu nulle part qu'Apple s'interdise d'accéder au contenu de nos sauvegardes.

avatar reborn | 

@SyMich

Ouais la théorie du complot classique. Si on ne peut pas le prouver c’est que ça reste plausible...

Le truc c’est qu’Apple disposent déjà de ces données avec l’app store et les rapports d’erreurs Pas besoin de trifouiller dans les sauvegardes.

avatar SyMich | 

C'est sûr que là on est dans le complot facile évidemment...mais l'intérêt de la sauvegarde de l'iPhone, par rapport à ce dont dispose déjà Apple via l'AppStore, c'est que la sauvegarde comporte les données de ces apps (du moins celles qui s'enregistrent sur l'iPhone)

avatar Calorifix | 

"Du moment qu’Apple garantie la sécurité de data iCloud."

Sauf que dans le monde de la sécurité tout le monde sait qu'il y aura toujours, à un moment ou un autre, une fuite de données. Donc lorsque les clés de chiffrement fuiteront, ça va pleurer dans les chaumières.

Pages

CONNEXION UTILISATEUR