Apple aurait renoncé au chiffrement de bout en bout des sauvegardes dans iCloud

Mickaël Bazoge |

Apple a renoncé à chiffrer l'intégralité des sauvegardes iCloud il y a deux ans, selon Reuters. C'était pourtant la suite logique du chiffrement de ces mêmes données via iTunes (ou le Finder depuis macOS Catalina), et la continuation des mécanismes de sécurité qui empêchent un tiers de pénétrer par effraction dans un appareil iOS. Du moins pas sans l'aide d'un outil comme celui de Cellebrite.

En mars 2016, alors que le débat autour de l'iPhone du tueur de San Bernardino faisait rage, des rumeurs annonçaient la volonté d'Apple de chiffrer aussi de bout en bout les sauvegardes iCloud. Actuellement, Apple possède une clé de déchiffrement de ces données : avec un chiffrement complet, la Pomme serait dans l'impossibilité de fournir au FBI et autres agences de sécurité à acronymes des informations pouvant s'avérer décisives pour des enquêtes en cours. Plusieurs types de données sont déjà chiffrés de bout en bout dans iCloud, comme les informations de paiement, de Santé, Maison, ou encore les mots de passe du trousseau iCloud et les Messages sur iCloud (lire : iPhone : ce qui n’est pas chiffré, ce qui l’est, et ce que cela signifie pour vos données).

Apple aurait abandonné les projets Plesio et KeyDrop, noms de code internes du développement du chiffrement iCloud, il y a deux ans. Une dizaine d'experts étaient attachés au dossier. Reuters avance deux raisons : Apple a pris conscience que ce dispositif allait « verrouiller » dans le nuage les données de nombreux utilisateurs, les rendant impossible à restaurer.

Autre raison, et rien ne dit que les deux n'aient pas pesé de tout leur poids pour contraindre Apple à abandonner l'idée, le FBI a fait part de ses craintes. Peu de temps après en avoir été informés, des représentants du Bureau ont expliqué au constructeur que ce chiffrement des données iCloud allait leur retirer un moyen très efficace de collecter des preuves.

Une des sources de l'agence de presse, un ancien employé d'Apple visiblement au fait de l'affaire, indique que l'argument a porté. La Pomme n'a pas voulu porter le blâme en public : pas question d'être l'entreprise qui « protège les criminels », d'être poursuivi en justice pour stocker des informations en dehors de portée des forces de l'ordre, ou encore de servir de raison à la mise en œuvre d'une législation contre le chiffrement.

Apple aurait donc décidé de faire un compromis. À côté du discours public très ferme de Tim Cook et d'Apple pour la confidentialité des données, le groupe continue d'épauler le FBI et les forces de l'ordre dans leurs enquêtes. Il leur fournit toutes les données en sa possession, des informations qui proviennent du nuage d'iCloud (lire : Rapport sur la transparence : le nombre de requêtes en France stable d'un semestre à l'autre).

Et malgré les exigences des organisations de libertés publiques comme l'EFF, qui a demandé l'an dernier à Apple de « jeter la clé » des sauvegardes chiffrées d'iCloud, l'entreprise a fait le choix du pragmatisme. Cela paiera peut-être, alors que le constructeur est embarqué dans une nouvelle polémique contre l'administration Trump (lire : Pensacola : le gouvernement américain joue-t-il franc jeu avec Apple ?).

Image d'accroche : Steve Buissinne, Pixabay

avatar Rodri31 | 

Donc si on veut une sauvegarde crypté il faut obligatoirement passer par crypter nous-mêmes la sauvegarde ?

avatar Sgt. Pepper | 

@Rodri31

La data iCloud sont bien chiffrés mais par une clef Apple (sauf certaines data comme Santé, Note verrouillage, ou Apple ne peut rien déchiffrer)

Pour Drive , oui tu peux utiliser un chiffrement Perso avant d’envoyer sur iCloud

avatar bouh | 

"au FBI et autres agences de sécurité à acronymes"

Je ne pense pas que FBI soit un acronyme 😳😒

avatar Achylle_ | 

@bouh
FBI :Federal Bureau of Investigation
Il me semble que si 😁

avatar bouh | 

@Achylle_

Tu donnes juste la correspondance des 3 lettres. Je ne vois pas le rapport avec le fait que ce soit un acronyme ou non.

Pour moi c'est un sigle.

avatar Achylle_ | 

@bouh
Tu connais la différence entre un sigle et un acronyme ? Car tu joues vraiment sur un point de détail là.
Mais tu as raison, FBI est un sigle, c’est vrai.

avatar bouh | 

@Achylle_
Oui ce n'est pas la même chose.

avatar Glop0606 | 

Je comprends pas bien. Les données sont aussi chiffrées sur icloud vu qu'Apple a besoin d'une clé pour les déchiffrer. Donc bon, ça reste quand même très sécurisé ou j'ai pas bien compris? Après vie privée et internet ne sont de toute façon pas compatibles (surtout quand les données sont sur des serveurs), donc à chacun de faire son choix et puis entre le Icloud d'Apple et mettre se photos sur Facebook, y'a quand même un gouffre au niveau respect de la vie privée!

avatar Sgt. Pepper | 

@Glop0606

Un projet interne Apple voulait chiffrer de façon où seul l’utilisateur pouvait déchiffrer (comme iPhone)

Rien de changé : les données sont toujours chiffrées mais Apple (donc Gouvernements légaux de chaque pays) ont accès.

La confidentialité est respectée.

avatar Glop0606 | 

@Sgt. Pepper

Merci pour votre réponse. Donc je trouve pas si horrible que ça. Si vraiment j’ai des trucs super secrets, ben j’aurais pas l’idée de les mettre dans un cloud. Et tant qu’Apple ne scanne pas mes données à la façon de Google ça me va.

avatar mouahahaha | 

"Si vraiment j’ai des trucs super secrets, ben j’aurais pas l’idée de les mettre dans un cloud. "

C'est pourtant comme ça que la NSA a perdu certains de ses outils secret défense. :)

avatar oomu | 

" Si vraiment j’ai des trucs super secrets, ben j’aurais pas l’idée de les mettre dans un cloud."

ben c'est justement tout l'enjeu. De par cette renonciation, Apple ne permet pas de rendre la SAUVEGARDE (de vos appareils qui eux ont potentiellement des trucs super secrets sur vous) icloud sécurisée pour vos données super secrètes.

Vous êtes obligé de continuer, si vous avez des données "super secrètes" à faire sans icloud. Comme ce matin, comme hier.

C'est dommage. C'aurait été bien pratique sinon, tout en ayant un contrôle raisonnable sur la confidentialité.

Pas grave, on faisait déjà sans icloud, on peut continuer à faire sans. et l'utiliser pour ne jamais y sauvegarde du "super secrets" (pensez à purger vos ipads/macs donc avant de les y faire sauvegarder)

avatar Glop0606 | 

Exactement, on continue à l'ancienne et c'est très bien ainsi. Le cloud ne devrait être considéré que comme un moyen pratique de synchronisation, voire de sauvegarde (pour les trucs pas super secrets ;)). Malheureusement l'industrie tech en fait de plus en plus un moyen "d'aliénation" en le rendant presque indispensable. Prenons Apple. Essayez aujourd'hui d'utiliser Catalina/Ios sans compte Icloud. Entre les messages constants de rappel, les services Apple qui sont quasi amputés voire inutilisables, on a vite fait de s'inscrire pour avoir la paix. Personnellement, j'essaie peu à peu de me défaire de toutes ces cages dorées à l'aide par exemple d'un NAS, refus tant que possible aux abonnements, achats en physique (L'arrêt des films Ultraviolets montrent combien le dématérialisé/DRM rendent le consommateur totalement tributaire du distributeur), etc... Force est de constater que ça devient de plus en plus galère (surtout au niveau sécurité) et que je ressemble de plus en plus à un petit village d'irréductibles gaulois :)

avatar hirtrey | 

@Glop0606

En fait il faut partir du postulat que rien n’est chiffré côté Apple. C’est plus simple et plutôt vrai. Ou plutôt tout est chiffré mais  a les clefs donc elle peux tout lire et tout donner

avatar Sgt. Pepper | 
avatar hirtrey | 

@Sgt. Pepper

Déjà lu

avatar Sgt. Pepper | 

@hirtrey

Encore pire.
Par exemple les données de santé ne sont pas déchiffrable par Apple. Donc pas TOUT

avatar geooooooooffrey | 

Ce QuI sE pAsSe dAnS vOtRe iPhOnE rEsTe DaNs VoTrE IpHoNe

avatar Krysten2001 | 

@geooooooooffrey

Rien avoir

avatar JLG01 | 

Si les donnés sont cryptées dans l’ordinateur, il semble logique que la sauvegarde Cloud soit avec les données cryptées.
Doc Apple n’a pas nécessité de récripter.
Ceci dit, je ne cripte rien et je n’ai pas de secret inavouable.

avatar marenostrum | 

La sauvegarde iCloud se fait sans l’intervention de l’ordinateur. Les deux sont distinctes. La plupart des gens ne sauvegardent jamais avec l’ordinateur. Savent pas le faire.

avatar Achylle_ | 

Bon compromis.
Les données sont bel et bien cryptées (donc difficile à obtenir pour un tiers mal intentionné), par contre Apple a une copie de la clé de chiffrement en cas de besoin.

Cela revient à avoir une porte blindée fermée à clef dans sa maison mais de laisser un double au gardien en cas de besoin.
Il suffit donc d’avoir confiance au gardien. Tout l’enjeu pour Apple est la.

avatar Sgt. Pepper | 

@Achylle_

Superbe analogie 👏

avatar mouahahaha | 

Sauf qu'on peut imposer à ton gardien de fournir la clé à tout ceux qui lui demande et sans ton autorisation. :)

Si la Chine dit à timmy, tu me donne accès à tout où tu dégages du pays, timmy va faire quoi à ton avis ? :)

avatar SyMich | 

Sur ce cas précis, on a la réponse. La Chine impose que les serveurs iCloud des utilisateurs chinois soient basés en Chine... c'est pas juste pour donner du boulot aux data centers chinois, mais bien pour avoir un accès permanent à toutes les données de ces utilisateurs. Apple s'est plié à cette exigence sans discuter.

Pages

CONNEXION UTILISATEUR