Apple aurait renoncé au chiffrement de bout en bout des sauvegardes dans iCloud

Mickaël Bazoge |

Apple a renoncé à chiffrer l'intégralité des sauvegardes iCloud il y a deux ans, selon Reuters. C'était pourtant la suite logique du chiffrement de ces mêmes données via iTunes (ou le Finder depuis macOS Catalina), et la continuation des mécanismes de sécurité qui empêchent un tiers de pénétrer par effraction dans un appareil iOS. Du moins pas sans l'aide d'un outil comme celui de Cellebrite.

En mars 2016, alors que le débat autour de l'iPhone du tueur de San Bernardino faisait rage, des rumeurs annonçaient la volonté d'Apple de chiffrer aussi de bout en bout les sauvegardes iCloud. Actuellement, Apple possède une clé de déchiffrement de ces données : avec un chiffrement complet, la Pomme serait dans l'impossibilité de fournir au FBI et autres agences de sécurité à acronymes des informations pouvant s'avérer décisives pour des enquêtes en cours. Plusieurs types de données sont déjà chiffrés de bout en bout dans iCloud, comme les informations de paiement, de Santé, Maison, ou encore les mots de passe du trousseau iCloud et les Messages sur iCloud (lire : iPhone : ce qui n’est pas chiffré, ce qui l’est, et ce que cela signifie pour vos données).

Apple aurait abandonné les projets Plesio et KeyDrop, noms de code internes du développement du chiffrement iCloud, il y a deux ans. Une dizaine d'experts étaient attachés au dossier. Reuters avance deux raisons : Apple a pris conscience que ce dispositif allait « verrouiller » dans le nuage les données de nombreux utilisateurs, les rendant impossible à restaurer.

Autre raison, et rien ne dit que les deux n'aient pas pesé de tout leur poids pour contraindre Apple à abandonner l'idée, le FBI a fait part de ses craintes. Peu de temps après en avoir été informés, des représentants du Bureau ont expliqué au constructeur que ce chiffrement des données iCloud allait leur retirer un moyen très efficace de collecter des preuves.

Une des sources de l'agence de presse, un ancien employé d'Apple visiblement au fait de l'affaire, indique que l'argument a porté. La Pomme n'a pas voulu porter le blâme en public : pas question d'être l'entreprise qui « protège les criminels », d'être poursuivi en justice pour stocker des informations en dehors de portée des forces de l'ordre, ou encore de servir de raison à la mise en œuvre d'une législation contre le chiffrement.

Apple aurait donc décidé de faire un compromis. À côté du discours public très ferme de Tim Cook et d'Apple pour la confidentialité des données, le groupe continue d'épauler le FBI et les forces de l'ordre dans leurs enquêtes. Il leur fournit toutes les données en sa possession, des informations qui proviennent du nuage d'iCloud (lire : Rapport sur la transparence : le nombre de requêtes en France stable d'un semestre à l'autre).

Et malgré les exigences des organisations de libertés publiques comme l'EFF, qui a demandé l'an dernier à Apple de « jeter la clé » des sauvegardes chiffrées d'iCloud, l'entreprise a fait le choix du pragmatisme. Cela paiera peut-être, alors que le constructeur est embarqué dans une nouvelle polémique contre l'administration Trump (lire : Pensacola : le gouvernement américain joue-t-il franc jeu avec Apple ?).

Image d'accroche : Steve Buissinne, Pixabay

avatar Achylle_ | 

@mouahahaha
Toujours cet argument...
Timmy donnera la clé si un juge lui ordonne, c’est tout.
Quant à la Chine, je serai curieux de savoir ce qui pourrait l’intéresser dans mes fichiers iCloud, moi citoyen français résident en france.

Et si c’était le cas, si je possédais des données sensibles, elles ne seraient certainement pas sur un Cloud, même crypté de bout en bout, simple question de bon sens.

avatar Sgt. Pepper | 

@Achylle_

Les autorités d’un pays n’ont accès qu’a leur citoyens.
Apple fournit les data de français au GVt Français qui fait une demande légale.

Data d’un user français n’est pas stocké dans iCloud chinois ...

La chine veut les données des leurs résidants dans iCloud chinois pour une autre raison de souveraineté.

avatar hirtrey | 

@Sgt. Pepper

Si tes données sont en Europe c’est vrai, si hébergées au USA c’est faux. Et pas très simple de savoir où sont stockées nos données.

avatar Sgt. Pepper | 

@hirtrey

Qu’est ce qui est faux?
Apple livre les data iCloud sur demande légale quelle que soit le lieu de stockage.

avatar hirtrey | 

@Sgt. Pepper

Oui mais si tes données sont stocké au USA, la justice américaine a aussi accès à celle-ci et pourtant c’est pas ton pays

avatar Sgt. Pepper | 

@hirtrey

OK

Patriot act est plus large que ce que laissait entendre , en effet.

Je pensais plutot l’Etat Fr qui récupère les data d’un Français sur iCloud US

avatar mouahahaha | 

@Achylle_

"Toujours cet argument...
Timmy donnera la clé si un juge lui ordonne, c’est tout.
Quant à la Chine, je serai curieux de savoir ce qui pourrait l’intéresser dans mes fichiers iCloud, moi citoyen français résident en france. "

Remplace Chine par le nom d'une autre dictature... d'un autre pays qui respecte les droits de l'homme, bien évidemment, et ça sera la même pour les citoyens du pays concerné.
Puis bon les juges en Chine, le PCC doit pas en faire grand cas quand il veut imposé un truc à des entreprises étrangères qui sont dépendante de la Chine pour produire et donc gagner des sous.

Ah et ya les USA qui considèrent qu'une entreprise US dont les serveurs sont basés à l'étranger doit quand même lui fournir ce qu'elle demande parce que ça appartiendrait à la nation américaine...

"Et si c’était le cas, si je possédais des données sensibles, elles ne seraient certainement pas sur un Cloud, même crypté de bout en bout, simple question de bon sens."

C'est pourtant ce que fait la France en utilisant le cloud d'entreprises étrangères pour y héberger ses données. :)

avatar Sgt. Pepper | 

@mouahahaha

Idem , pour ta maison.
Avec un mandat la police peut rentrer.

avatar mouahahaha | 

Sauf que nous on a encore la chance pour le moment d'avoir une justice dans l'engrenage pour limiter les abus, s'ils arrivent à faire sauter ça, ça va pas être la même histoire. :)

Imagine une armée de benalla, pas flic du tout, qui vient chez toi pour tout piller parce qu'ils sont copain avec un mec au placé qui leur confère une immunité. Et ils te balancent un "où t'ouvres ou on te défonce le crâne ?" Tu fais quoi ? :)
En mode sauvagerie comme celles vs gillets jaunes mais en façon permanente et partout quoi. T'es pompier, paf dans ta gueule, t'es médecin, paf dans ta gueule, t'es un handicapé en fauteuil roulant, pas dans ta gueule aussi. Et toutes les plaintes classés sans suite, le rêve non ? :)

avatar Crunch Crunch | 

De toute manière, en cas de soupçon de crime, la police est en dessus de TOUT, pour faire justice et protéger les victimes.

Et c'est NORMAL !

avatar Sindanarie | 
avatar hirtrey | 

@Crunch Crunch

Non la police n’est pas au dessus de tout. Il y a des lois et même la police doit les respecter

avatar marenostrum | 

Ils sont armés et peuvent tirer.

avatar hirtrey | 

@marenostrum

Oui pour se défendre ou protéger les citoyens.

avatar Ducletho | 

Bon finalement iCloud accessible par les autorités compétentes grâce à une clé que possède Apple ( c’est le backdoor de l’iCloud). L’iPhone cracké avec Cellebrite.
Le niveau de confidentialité est au même niveau que Google. Ni plus ni moins

avatar Sgt. Pepper | 

@Ducletho

Absolument pas.🙄

Google utilise ta vie privée et toutes les données qui traîne pour faire ton profile et te vendre aux agence de de pubs.
Tous les jours à chaque interaction.

Ici le risque est qu’un jour la justice récupère tes données iCloud.

avatar Ducletho | 

@Sgt. Pepper

Je pense que tu n’en sais pas plus que moi. Et s’il y avait ce trafic de données avec plein de publicitaires ayant un accès aux données clients , ça fait longtemps que ça aurait fait scandale

avatar Sgt. Pepper | 

@Ducletho

C’est le business Model de Google : aucun secret , tout est marfaitement connu 🙄

avatar shaba | 

@Ducletho

Google remet de la même façon tes données aux autorités mais les utilise de plus au quotidien pour les commercialiser. Rien à voir donc.

avatar Ducletho | 

@shaba

Et ? Dans le but d’espionner ? Et sans éthique ?

avatar shaba | 

@Ducletho

Jusqu’à preuve du contraire Apple ne remet tes données et ne les consulte que sur mandat des autorités. Personne ne les consultera jamais si tu n’as pas ce genre de problème. Je préférerais évidemment ne même pas avoir à me poser la question grâce à une sauvegarde chiffrée de bout en bout mais je sais que contrairement à mes données stockées chez Google il y’a une infime chance que celles ci soient exploitées.

avatar mouahahaha | 

"Jusqu’à preuve du contraire Apple ne remet tes données et ne les consulte que sur mandat des autorités."

Jusqu'à preuve du contraire ? C'est donc un fanstame de fanboy, qui a été brisé quand on a apprit que des sociétés tiers avait accès à certaines données et pouvait même identifier une personne avec alors que c'était censé ne pas pouvoir être le cas. :)

avatar Sgt. Pepper | 

@mouahahaha

Les données étaient bien anonymes .
Il y avait 2 soucis: contenu pouvait contenir info privée et pas possible de refuser.
Pb règlé

Au moins avec Google pas de surprises: chaque info est monétisée 🤢

avatar oomu | 

voilà pourquoi je ne sauvegarde pas dans icloud ni j'utilise icloud drive.

Je n'ai aucune idée de ce que demain mes histoire de familles, mes projets rigolo et mes documents de boulot pourraient servir à Apple, Etats, pirates qui auraient réussis à copier le sserveurs d'apple, un éventuel changement de propriétaire/politique d'apple, l'an 2056.

N'ayant pas envie de me poser de question ni d'imaginer quelle sera la marque des Bottes en 2056, je n'utilise pas.

je copie sur des disques externes, et j'envoie mes bonnes vielles archives de mails pros etc ponctuellement en corse :) (dans un serveur à la châtaigne)

-
En tout cas c'est sympa d'avoir refait un point sur l'histoire du chiffrement point à point de la sauvegarde icloud. Ce sujet avait "disparu" depuis qu'Apple avait annoncé y travailler.

avatar Sgt. Pepper | 

@oomu

En fait avec la fibre , l’idéal est de faire un iCloud maison en chiffrement complet avec disque en mirroring .
Reste le backup en 2ieme lieu pour l’incendie.

Il y a des solutions gratuites?

avatar SyMich | 

Pour mettre à l'abri vos sauvegardes c'est une solution. Mais si vous utilisez un iPhone, il y a nécessairement des données qui transitent par les serveurs iCloud. On ne peut pas activer un iPhone sans renseigner un compte iCloud.

avatar Sgt. Pepper | 

@SyMich

Non le compte iCloud est totalement optionnel pour activer un iPhone
(Débloque iCloud évidemment)

L’idée serait plutôt de stoker photos / fichiers/ ... sur NAS Perso.

avatar oomu | 

"Il y a des solutions gratuites?"

rien est gratuit, car vous devrez payer du matériel, vous auto-former et passer le temps à mettre en place.

Mais en "cloud" (en mode stocker des photos avec une chouette interface et gestion accès /partage à la "google drive") à faire soi même en gratuit, y a par exemple Nextcloud (http://nextcloud.com)

qui vous fournit une chouette techno, maintenu par une communauté (que vous pouvez rejoindre) et qui vous laisse vous démerder tout seul avec le projet (en gpl), ou tout payer (hébergement, support, gestion, etc) ou moduler.

Bien sur, y a aussi que nombre de "nas" intègre typiquement nextcloud, owncloud ou autre équivalent. L'aspect logiciel est "gratuit", mais le fournisseur du nas vous a déjà fait une bonne part de l'intégration avec la machine de stockage.

avatar Sgt. Pepper | 

@oomu

Oui bien sûr : en local et open source / libre sur mon propre serveur maison acheté par mes soins

avatar mouahahaha | 

"Il y a des solutions gratuites?"

Pourquoi gratuites ? T'as plus d'argent à consacrer à tes données une fois que tu t'es ruiné pour apple ? :)

Pourtant t'es pas le dernier à sortir le "si c'est gratuit c'est vous le produit pour légitimer les tarifs d'apple et la t'accepterais de devenir le produit ?

avatar Sgt. Pepper | 

@mouahahaha

N’importe quoi
si local il y a plein des milliers solution gratuite : linux, nodejs,..
Le cloud n’est jamais gratuit

Je cherche du open source et libre pour chez moi

avatar oomu | 

je ne sais pas si tout le monde distingue bien le fait de
- transférer des données après les avoir chiffré avec une clé du fournisseur de service (ici Apple)
- chiffrer point à point (du client au serveur) et stocker des données chiffrées, avec une clé que seul l'utilisateur possède.

Si y a confusion , il est impossible de comprendre l'actualité et les enjeux pour les états, les citoyens, les entreprises, la criminalité et la police.

avatar Sgt. Pepper | 

@oomu

Je trouve que l’article manque de contexte pour éviter cette confusion

avatar Ali Ibn Bachir Le Gros | 

Il existe des solutions de chiffrement de bout en bout tierces pour ceux qui le souhaitent. J'utilise l'allemand Boxcryptor, mais il y en a d'autres.

avatar lolo57 | 

Avoir ses données accessibles par les autorités alors que l'on a jamais était si près d'avoir une présidente d'extrême droite, cela fait froid dans le dos.

avatar killabling | 

Apple a perdu c couilles en chemin...!!!
Sois tu fais,sois tu fait p1s sinon pas la peine de "pipoter" les gens sur ta pseudo sécurité.
Tient sa mrappelle Macron et toutes c promesses sur les retraites🤔

avatar kitetrip | 

Si vous tenez à votre confidentialité, n’utilisez pas le cloud...
et videz votre boîte mail

avatar Crist'o (non vérifié) | 

Vivement l arrivée prochaine de ProtonDrive... de bout en bout, c est prévu et promis, si si !

Et sinon, HS, conseil de lecture, (re)lisons Alain Badiou... pourfendeur du capitalisme ET de la démocratie (Oooh !), un sage éclairage sur des utopies ratées et celles du possible, si si !

avatar huexley | 

ProtonDrive on l'attends toujours…

avatar djgreg13 | 

C'est vraiment complexe le chiffrement bout en bout de la sauvegarde. Si le dernier appareil iOS meurt, on perd tout. Parce que si la clé n'est pas envoyé ça veut dire qu'une copie doit être sauvegardée par ses propres moyens et c'est la que ça coince pour rester simple.
C'est déjà le cas pour le trousseau et santé, les deux choses chiffrées à ce jour de bout en bout et je me suis fait avoir bêtement une fois en vendant l'iPhone avant d'avoir le nouveau

avatar Pierre H | 
avatar Castio | 

Je vois 2 façons de commenter cette information.
Pour ce qui est du Cloud, Il y a ceux qui peuvent, ceux qui ne savent pas faire, ceux qui ne veulent pas faire et puis il y a les NAS... (je n'ai pas dit les nazes).
Et là contrôle total WW, fin du tripotage, des disparitions ou expositions de données.

Pour ce qui est de la sécurité au fond, il n'y a que les délinquants pour lutter contre les outils de résolution de la délinquance...
C'est du même ordre d'idée que les appels de phares pour signaler à d'autres automobilistes la présence d'un contrôle routier.
Cela permet à de gentils délinquants tantôt au volant de la voiture qui vous a été volée la semaine dernière, tantôt transportant de la drogue et des armes, tantôt en fuite avec un môme kidnappé dans le coffre; de rebrousser chemin.

Concernant les téléphones portables, il reste peu d'espoir aux gens qui ont des choses à cacher.

https://www.streetpress.com/sujet/1579520319-police-gendarmerie-un-logiciel-pour-fouiller-portables

avatar mk3d | 

La confidentialité est un mythe

Pages

CONNEXION UTILISATEUR