iMessage : sans surprise, le FBI peut obtenir des métadonnées, voire le contenu des messages, avec un mandat

Stéphane Moussie |

« Un document du FBI indique que la police peut obtenir vos données WhatsApp, et ce en temps réel », titre RollingStone qui présente cela comme une révélation fracassante. En réalité, le titre est un gros raccourci et l'information est déjà connue. Cependant, le fameux document du FBI qui concerne les requêtes légales a le mérite de rappeler que, bien que présentés comme des services protégeant la vie privée, WhatsApp et iMessage ne sont pas hors de portée des autorités.

Ainsi, avec un mandat de perquisition, le FBI peut obtenir de WhatsApp le carnet d'adresses de la personne ciblée, ainsi que celui d'autres personnes qui ont la cible dans leurs contacts, tout comme des métadonnées sur les messages échangés. Le contenu des messages reste, lui, illisible par le FBI, car ceux-ci sont chiffrés de bout en bout. Une enquête de ProPublica avait souligné que les messages signalés par les utilisateurs devenaient visibles aux yeux des modérateurs de la plateforme, mais on ne sait pas si le FBI peut avoir accès à ces messages déchiffrés.

Le document du FBI récapitulant les informations qu'il peut obtenir des différentes messageries par le biais d'une procédure légale.

Quant à iMessage, toujours à condition de fournir un mandat, le FBI peut obtenir d'Apple 25 jours de données sur les requêtes effectuées par l'utilisateur dans Messages, ainsi que les informations sur quelles autres personnes ont cherché la cible dans l'application. Comme les messages sont chiffrés de bout en bout, leur contenu n'est pas lisible par le FBI… à moins que la sauvegarde sur iCloud soit activée. Apple ayant une clé de déchiffrement de la sauvegarde iCloud, les autorités peuvent demander cette clé et ainsi lire les messages.

Ce n'est pas une révélation, cette « faille » dans la protection des messages avait déjà agité les débats l'année dernière. En conservant cette clé, Apple garde la possibilité de déchiffrer les sauvegardes des utilisateurs qui ont oublié leur mot de passe. Il y a quelques années, la Pomme aurait eu l'intention de chiffrer de bout en bout les sauvegardes iCloud, et donc les messages inclus dedans, mais ce projet ne s'est pas concrétisé.

Le chiffrement des sauvegardes iCloud, un casse-tête de bout en bout

Le chiffrement des sauvegardes iCloud, un casse-tête de bout en bout

L'opposition du FBI à ce projet aurait joué dans son abandon. D'autres raisons ont pu également pousser Apple à ne pas le mener à bien, comme la volonté de continuer à proposer une solution de secours aux utilisateurs ayant perdu leur mot de passe.

Apple a répondu à l'article de RollingStone de façon habituelle, c'est-à-dire en dirigeant vers son rapport de transparence qui comptabilise les requêtes des autorités de chaque pays, requêtes auxquelles Apple peut s'opposer si elles ne sont pas conformes.

avatar frascorpion | 

Donc Signal et Telegram sont le mieux 😁

avatar Angusalex | 

@frascorpion

Pourquoi ?

avatar frascorpion | 

@Angusalex
Lit et regarde l’image document FBI

avatar raoolito | 

@frascorpion

il voulait dire "pour qui ?"
Vous avez peur que le FBI regarde vos messages ? tiens donc...

avatar themasck | 

Question sécurité, Telegram n'est pas forcément celle qui a la meilleure réputation dans le petit monde des experts. D'autres applis laissent moins de traces.

avatar winnipeg | 

@frascorpion

Telegram fait mieux si et seulement si vous activez les échanges secrets. Sinon, et c’est par défaut, vous avez le chiffrement d’une carte postale sans enveloppe déposée dans une boîte aux lettres sans serrure

avatar frascorpion | 

@winnipeg
« seulement si vous activez les échanges secrets »
Ça je le sais déjà qu’il faut activer sur chaque contact pour le chiffrement de bout en bout 😉

Je choisi signal car Telegram j’en reçois des message des escorts girls 🤔🙄😂

avatar Amaczing | 

@winnipeg

"@frascorpion
Telegram fait mieux si et seulement si vous activez les échanges secrets. Sinon, et c’est par défaut, vous avez le chiffrement d’une carte postale sans enveloppe déposée dans une boîte aux lettres sans serrure"

J’adore 🙂

avatar fiouze | 

@winnipeg

Vous avez des preuves de ce que vous avancez?

avatar winnipeg | 

@fiouze

Vous avez besoin de preuves que si telegram possède une fonction « échange secret » à activer c’est donc que par déduction, l’échange ne l’est pas par défaut?

avatar marenostrum | 

et alors, tu vois mes messages de ma carte postale dans ma boite à lettres sans clé ? arrête de donner des exemples bidons.

avatar Deckard | 

Repris des FAQ de Telegram :

Q: So how do you encrypt data?
We support two layers of secure encryption. Server-client encryption is used in Cloud Chats (private and group chats), Secret Chats use an additional layer of client-client encryption. All data, regardless of type, is encrypted in the same way — be it text, media or files.

Our encryption is based on 256-bit symmetric AES encryption, 2048-bit RSA encryption, and Diffie–Hellman secure key exchange. You can find more info in the Advanced FAQ.

avatar fiouze | 

@ winnipeg

Oui j'ai besoin de preuve. La déduction c'est bien mais les faits c'est mieux. Vérifier ses dires c'est encore mieux. Peut etre que les échanges secrets apportent un niveau de sécurité supplémentaire comme le fait remarquer @Deckard

avatar sachouba | 

@winnipeg

Non, pas seulement.
Telegram sépare les clefs de chiffrement des messages sur ses serveurs dans plusieurs pays, ce qui nécessite un mandat de plusieurs pays simultanés pour obtenir le contenu d'un message – contrairement à iCloud.

Comme l'écrit Telegram dans sa FAQ :
"To protect the data that is not covered by end-to-end encryption, Telegram uses a distributed infrastructure. Cloud chat data is stored in multiple data centers around the globe that are controlled by different legal entities spread across different jurisdictions. The relevant decryption keys are split into parts and are never kept in the same place as the data they protect. As a result, several court orders from different jurisdictions are required to force us to give up any data.

Thanks to this structure, we can ensure that no single government or block of like-minded countries can intrude on people's privacy and freedom of expression. Telegram can be forced to give up data only if an issue is grave and universal enough to pass the scrutiny of several different legal systems around the world."

avatar Pattedechat | 

@frascorpion

Pour Telegram, ne pas oublier d’ouvrir un échange secret si on veut un chiffrement de bout en bout, les conversations normales, qui sont celles par défaut, ne sont pas chiffrées

Édit : ok j’ai été trop lent 😄

avatar frascorpion | 

@Pattedechat
Haha tkt pas de soucis 😉

avatar Paquito06 | 

@frascorpion

“Donc Signal et Telegram sont le mieux 😁”

C’est du sursis, je dirais. Jusqu’a ce qu’un taré passe a l’action et que le FBI veuille recuperer les donnees d’une de ces deux apps. Non?

avatar frascorpion | 

@Paquito06
Lit et regarde l’image document FBI

avatar Paquito06 | 

@frascorpion

“Lit et regarde l’image document FBI”

Deja fait, sinon je commenterais pas…
Ca repond pas a la question malheureusement.
Y a surtout marqué que c’est un document interne du FBI et qu’on devrait pas y avoir acces, by the way 😅

avatar TheRV | 

Je comprends pas l’intérêt de communiquer du FBI là-dessus, à par assouvir la curiosité du grand public (et agiter les plus parano) et faciliter les mesures de contournement que mettront en œuvre les délinquants. C’est un peu comme un secret industriel qui permet de rester compétitif et éviter de se faire rattraper par la concurrence

avatar R-APPLE-R | 

@TheRV

Ça n’a rien à voir avec le secret industriel c’est la lois et nul n'est censé ignorer la loi 😉

avatar themasck | 

nul n'est censé ignorer la loi : ce n'est valable que pour la FRANCE

avatar Paquito06 | 

@themasck

“nul n'est censé ignorer la loi : ce n'est valable que pour la FRANCE”

Aussi aux US je te rassure. Tout ca vient du latin “ignorantia juris non excusat” (assez clair meme si t’as pas fait latin). En gros, on ne t’excusera pas si tu ignores la loi.

avatar darghorn (non vérifié) | 

Concrètement ça veut dire quoi metadonnés ?

avatar IceWizard | 

@darghorn

« Concrètement ça veut dire quoi metadonnés ? »

Les metadonnés c’est de savoir avec qui tu communiques et quand.

Il est important pour les services de renseignements de créer des arbres de relation sociales « Machin connaît truc, qui lui même a eu des longs échanges avec Bidule, juste avant un événement bien précis »

avatar victoireviclaux | 

@IceWizard

Oui la clé de l'information aujourd'hui, c'est les metadonnées, le contenu a son importance mais trop souvent complexe et trop long à analyser

avatar winnipeg | 

J’étais persuadée que iMessage était au niveau de Signal niveau chiffrage. De bout en bout certes mais sur le document du FBI on voit bien que pour iMessage c’est « message content: limited » et Signal « no message content » 🙀.

Donc « sans surprise le FBI peut » heu si Stéphane je suis très surprise désolée et merci de nous l’apprendre d’ailleurs

avatar victoireviclaux | 

@winnipeg

En fait, ils peuvent si iMessage est synchronisé sur iCloud et/ou sauvegarde iCloud, car Apple détient la clé du chiffrement (utile si tu perds ton mdp et que tu as activé la double authentification), sinon si c'est hors iCloud, c'est bon

avatar hervemac | 

Je suis étonné qu’iMessages soit une passoire, ça ressemble pas à Apple, lui qui depuis 2 ans nous bassine avec la protection de vie privée.

avatar lmouillart | 

Dans une relation contractuelle avec un fournisseur, il faut toujours mettre de côté le discours marketing et lire les GGV/GCU/ et les lois de pays d'origine des produits et services ... Rien de nouveau sous le soleil.
- Apple collecte des données pour elle.
- Apple transfère des données à des tiers.
- Apple est contrainte par les lois US tout comme n'importe quel équipementier qui respecterait les lois.

avatar raoolito | 

@hervemac

"Je suis étonné qu’iMessages soit une passoire"

alors.
1- passoire si vous avez un mandat signé par un juge
2- passoire si vous avez activé la sauvegarde icloud
3- passoire si vous pensez donc que vos imessages contiennent des informations que le FBI ou autre service de securité pourrait etre amené à regarder avec interet (et donc avec un dossier soutenu)

ca vous fait plutot passer pour une personne qui cherche les problemes

avatar r e m y | 

Je n'ai pas de statistiques, mais je ne pense pas qu'il y ait beaucoup d'utilisateurs d'iPhone qui n'ait pas activé la sauvegarde iCloud. Je pense même qu'elle est activée par défaut.

avatar themasck | 

j'ai desactivé la sauvegarde icloud , par compte j'ai synchronisé la sauvegarde imessage en conaissance de cause. apple nous permets de gerer notre compte Icloud assé precisement
pour eviter de laisser des traces .

avatar MGA | 

@raoolito

Il ne cherche pas nécessairement les problèmes mais il peut très bien faire partie des métadonnées d’une personne qui a cherché les problèmes (ça c’est pour le FBI) ou d’une personne « importante » (politique, activiste, journaliste d’investigation… ça c’est pour le renseignement)

avatar iPadProM1 | 

Avec un mandat… chiffré ou pas c’est normal en même temps.

avatar cecile_aelita | 

@iPadProM1

Vu les commentaires plus haut… visiblement… non 🙁! Mais je suis d’accord avec toi que certains commentaires font peur du coup 😊😘

avatar lmouillart | 

C'est normal : oui.
C'est opposé au discours d'Apple qui clame sur tous les immeubles "ce qui est sur iPhone reste sur iPhone" : oui. C'est un mensonge et ceux qui le croient (dans des pays beaucoup moins libres), risquent jusqu'à leur vie. La liste des exceptions à cette logique étant longue comme le bras. C'est un peu comme le "Don't be evil" c'était un slogan, c'est tout.

avatar pumk1n | 

@lmouillart

En fait ça l’est si tu choisis que ça le soit…

Si tu ne sauvegardes pas tes messages sur iCloud, alors le FBI n’y aura jamais accès.

Après si tu choisis que tes données sortent de ton iPhone alors elles sont sorties, mais ça reste ton choix !

Donc la publicité n’est pas fausse…

avatar r e m y | 

C'est quand même très limite car Apple incite très fortement à activer la sauvegarde sur iCloud de son iPhone, en se gardant bien d'expliquer clairement qu'en faisant cela on donne accès potentiellement à toutes ses données, chiffrées ou pas, à toute personne récupérant (de façon légale ou illégale) la clé d'accès à ces sauvegarde dont dispose Apple.

avatar pumk1n | 

@r e m y

Pour ma part Apple a poussé à la sauvegarde iCloud mais par défaut les messages étaient décochés. Peut-être ai-je eu de la chance ?

J’ai dû le cocher moi même.

avatar r e m y | 

Il ne faut pas confondre la possibilité de cocher Messages dans les "apps utilisant iCloud" (ce qui permet d'utiliser Messages sur iCloud pour synchroniser entre ses appareils), et le fait que par défaut les iMessages, SMs et MMS sont compris dans la Sauvegarde sur iCloud.
Apple précise d'ailleurs que si on utilise "Messages sur iCloud" alors, les iMessages ne sont plus dans la sauvegarde car ils sont déjà sur iCloud. Donc dans tous les cas les Messages sont quelque part sur iCloud et donc accessible à qui obtient la clé dances dont dispose Apple.

avatar Ol'Dirty | 

@r e m y

On peut néanmoins choisir ce qui part dans le cloud ou non. Bref sauvegardez vos devices sur vos mac/pc.

avatar lmouillart | 

Il n'y a pas que le FBI dans les agences fédérales des USA. C'est même celle qui dans le cadre d'investigation à accès au moins d'éléments numérique. Certaines agences, soit indépendantes, soit dépendant du département de la sécurité intérieure ou du département de la défense ont des accès bien plus larges.

En dehors de ce que dit Apple (de ce que peut dire Apple) là-dessus, il est tout à fait possible techniquement d'avoir accès aux données des sauvegardes cryptés.

avatar Lemon19 | 

@pumk1n

Elle n’est pas fausse mais elle est trompeuse.

avatar Lemon19 | 

@lmouillart
La force du marketing.

avatar r e m y | 

Sauf que lorsqu'un chiffrement de bout en bout est utilisé, Apple n'a pas les moyens de déchiffrer les messages. Donc loi ou pas, tout ce qu'ils peuvent transmettre ce sont des messages chiffrés.
Là, le problème c'est que même si iMessages est chiffré de bout en bout, les sauvegardes iCloud (qui contiennent tous les messages), ne sont PAS chiffrés de bout en bout, mais sont chiffrés via une clé dont Apple conserve une copie. C'est donc via cette sauvegarde iCloud que le FBI peut accéder au contenu déchiffré des messages.

avatar Krysten2001 | 

@r e m y

Sauf qu’il faut activé l’option pour message et comme elle est pas coché par défaut 😉

avatar r e m y | 

Alors là, j'avoue que je ne sais plus si c'est coché par défaut ou pas... mais là, on parle de Messages, mais le problème de la sauvegarde iCloud dont Apple a la clé est valable pour TOUT ce que contient cette sauvegarde.

Édit
Je viens de vérifier, je ne vois pas où il faudrait cocher ou décocher quelque chose pour que Message soit ou ne soit pas sauvegardé dans iCloud. Ce que l'on peut cocher, et qui est décoché par défaut, c'est la possibilité pour Messages d'utiliser iCloud (pour synchroniser entre les appareils). Ce n'est pas un choix de les inclure dans la sauvegarde iCloud!

Concernant cette Sauvegarde iCloud (dont le contenu n'est pas parametrable), voici ce qu'écrit Apple de ce qui est sauvegardé :
Voici les éléments inclus dans les sauvegardes iCloud
_ données des apps
_ sauvegardes de l'AppleWatch
_réglages de l'appareil
_ organisation de l'écran d'accueil et des apps
_ iMessage, SMS et MMS
_ Photos et vidéos enregistrées sur votre iPhone, iPad ou iPod Touch
_ historique des achats associés à des services Apple, tels que vos morceaux, films, séries TV, apps et livres
_ sonneries
_ mot de passe de votre messagerie vocale visuelle (nécessite la carte SIM utilisée au moment de la sauvegarde)

Avec la note suivante concernant iMessage:
Lorsque vous utilisez Messages sur iCloud ou activez Photos iCloud, votre contenu est automatiquement stocké sur iCloud. Cela signifie qu'il n'est pas inclus dans votre sauvegarde

avatar Bigdidou | 

@r e m y

« Je viens de vérifier, je ne vois pas où il faudrait cocher ou décocher quelque chose pour que Message soit ou ne soit pas sauvegardé dans iCloud. »

Ben dans « Stockage iCloud », tu paramètres ce que tu y sauvegardes ou pas, non ?

avatar r e m y | 

Non stockage iCloud ne définit pas ce que contient la "sauvegarde iCloud"
Par défaut la sauvegarde iCloud contient les messages iMessage, sauf si on choisit d'utiliser Message sur iCloud auquel cas, Apple précise que les Messages ne sont plus dans la sauvegarde iCloud car ils sont déjà sur iCloud.

Dans tous les cas les Messages sont donc sur iCloud et donc accessibles si nécessaire à quiconque obtient la clé que conserve Apple.

Si on veut être sûr que les Messages ne soient pas accessibles, il faut désactiver la sauvegarde sur iCloud et ne pas utiliser Message sur iCloud.

Pages

CONNEXION UTILISATEUR