iMessage : sans surprise, le FBI peut obtenir des métadonnées, voire le contenu des messages, avec un mandat
« Un document du FBI indique que la police peut obtenir vos données WhatsApp, et ce en temps réel », titre RollingStone qui présente cela comme une révélation fracassante. En réalité, le titre est un gros raccourci et l'information est déjà connue. Cependant, le fameux document du FBI qui concerne les requêtes légales a le mérite de rappeler que, bien que présentés comme des services protégeant la vie privée, WhatsApp et iMessage ne sont pas hors de portée des autorités.
Ainsi, avec un mandat de perquisition, le FBI peut obtenir de WhatsApp le carnet d'adresses de la personne ciblée, ainsi que celui d'autres personnes qui ont la cible dans leurs contacts, tout comme des métadonnées sur les messages échangés. Le contenu des messages reste, lui, illisible par le FBI, car ceux-ci sont chiffrés de bout en bout. Une enquête de ProPublica avait souligné que les messages signalés par les utilisateurs devenaient visibles aux yeux des modérateurs de la plateforme, mais on ne sait pas si le FBI peut avoir accès à ces messages déchiffrés.
Quant à iMessage, toujours à condition de fournir un mandat, le FBI peut obtenir d'Apple 25 jours de données sur les requêtes effectuées par l'utilisateur dans Messages, ainsi que les informations sur quelles autres personnes ont cherché la cible dans l'application. Comme les messages sont chiffrés de bout en bout, leur contenu n'est pas lisible par le FBI… à moins que la sauvegarde sur iCloud soit activée. Apple ayant une clé de déchiffrement de la sauvegarde iCloud, les autorités peuvent demander cette clé et ainsi lire les messages.
Ce n'est pas une révélation, cette « faille » dans la protection des messages avait déjà agité les débats l'année dernière. En conservant cette clé, Apple garde la possibilité de déchiffrer les sauvegardes des utilisateurs qui ont oublié leur mot de passe. Il y a quelques années, la Pomme aurait eu l'intention de chiffrer de bout en bout les sauvegardes iCloud, et donc les messages inclus dedans, mais ce projet ne s'est pas concrétisé.
Le chiffrement des sauvegardes iCloud, un casse-tête de bout en bout
L'opposition du FBI à ce projet aurait joué dans son abandon. D'autres raisons ont pu également pousser Apple à ne pas le mener à bien, comme la volonté de continuer à proposer une solution de secours aux utilisateurs ayant perdu leur mot de passe.
Apple a répondu à l'article de RollingStone de façon habituelle, c'est-à-dire en dirigeant vers son rapport de transparence qui comptabilise les requêtes des autorités de chaque pays, requêtes auxquelles Apple peut s'opposer si elles ne sont pas conformes.
@r e m y
C’est pointu… et pas très clair, du coup.
Ça serait bien qu’Apple clarifie par des explications dans les réglages…
Il y a les explications (même si il faut chercher où elles se trouvent....)
Réglages / iCloud / sauvegarde iCloud puis cliquer le (i) En savoir plus
@r e m y
Bon, merci, j’ai appris un truc.
Faut trouver, effectivement.
Pour moi, il reste que la façon de présenter ces réglages crée une ambiguïté.
@Bigdidou
"Pour moi, il reste que la façon de présenter ces réglages crée une ambiguïté."
Il y en a encore qui critiquent les réglages de Windows. Certes, ils le sont. Certes, ils sont organisés un peu n’importe comment. Il y a un travail de fond de réorganisation cependant.
Chez Apple c’est l’inverse. Ça se désorganise et se hiérarchise de plus en plus et le merdier s’accumule.
L’informatique n’est pas notre amie.
Sauf à avoir la possibilité d'avoir les sources audités et validés des logiciels, firmwares, compilateurs, ... utilisés, de pouvoir les construire de 0 dans un environnement fiable et de pouvoir remettre des logiciels propres, non rien ne le garantit, hormis le coeur sur la main d'Apple.
Ce serait de plus contraire à certaines loi antiterroriste et sur la cybersécurité
Pour des raisons philosophiques je trouve Telegram beaucoup mieux. J’ai davantage confiance à utiliser un téléphone américain avec un service russo-émirati que de passer par du 100% US.
Néanmoins, l’ensemble de ces services restent des passoires et n’importe quel individu voulant y avoir accès et s’en donnant les moyens, parviendra à ses fins.
@Hugualliaz
C'est quoi le rapport ?
@victoireviclaux
Il peut être plus sécurisé d’avoir ses données dans des entreprises situées aux 4 coins d’une monde plutôt que d’avoir ses données dans un seul endroit.
@Hugualliaz
Oui c’est d’ailleurs ce que recommandent des spécialistes : ne pas mettre tous des œufs dans le même panier : que ce soit pour la data dans le cloud, les e-mails, les chats : choisir le meilleur dans chaque secteur et pas l’un qui fait tout.
@Hugualliaz
Mouais. Jen suis pas certaine. Telegram est russe l’iPhone est américain fabriqué en Chine et les données sont hébergées à Dubaï. Ça c’est une certitude. Maintenant qui vous dit que vous ne faites pas juste multiplier les portes d’accès x 4 plutôt que diviser le risque? Idéalement je souhaite que mes données privées restent privées. Mais je pense qu’on a tous atteint le consensus que cela n’est jamais totalement le cas même pour signal qui log les jours d’accès au service + date d’inscription (cf le doc du FBI). Donc quel est le « moins pire » des scénarios? Un seul pays full access? 4 pays? Puis quel pays est le moins pire entre USA / Chine / Russie / Émirats? Chacun aura son opinion mais ce qui est certain c’est que quel que soit le pays, la surveillance officielle est toujours obtenue pour cause de « terrorisme » et qu’au final elle sert d’autres intérêts (opposants politiques / journalistes / humanitaires) ou même des groupes privés. On l’a vu avec NSO qui vend son outil à qui veut l’acheter. Je suis donc mitigée sur votre vision mais je la respecte.
@winnipeg
Tout à fait, je suis complètement d’accord avec votre constat et vos interrogations. Les miennes étant plus philosophiques que techniques, on peut effectivement se poser la question de savoir s’il ce n’est, au final, pas moins sécurisé de procéder ainsi.
@Hugualliaz
En tout cas je trouve ce débat très sain et salutaire! Et j’apprends énormément des différents avis! (J’ai même acheté un NAS synology pour m’extraire petit à petit de Google photos, Dropbox etc mais que c’est fastidieux!)
@winnipeg
Oui je suis plutôt d’accord avec vous, il y a sans doute une hiérarchie avec ce qui doit-être protégé à tout prix de ce qui est moins sensible.
De la même façon, j’ai un téléphone loisir avec tous mes contacts et un téléphone (sms/appels) pour mes (très) proches afin de rester joignable en cas d’urgence. Je n’utilise le téléphone loisir qu’une heure par jour.
Ça peut paraître extrême mais il y a beaucoup d’effets bénéfiques : je lis, je me cultive beaucoup plus et surtout je suis beaucoup plus zen !
@winnipeg
> Mais je pense qu’on a tous atteint le consensus que cela n’est jamais totalement le
> cas même pour signal qui log les jours d’accès au service + date d’inscription
> (cf le doc du FBI)
Ca c'est vrai pour a peu près tout, car c'est facilement traçable via les logs des opérateurs internet, que la loi oblige de conserver.
Même sans collaboration de telegram ou signal, ce type d'info est obtenable via la collaboration des operateurs, ce que les lois les obligent de faire.
Après, via un VPN côté client et de l'auto-hebergement d'un serveur VPN + Signal par exemple, on peut échapper à cela. Mais du coup, y'aura peu de personne à pouvoir communiquer avec vous, puisque seuls ceux connaissant l'adresse de *votre* serveur Signal pourront le faire. Pour les autres solutions, comme la partie serveur des messageries n'est pas disponible, cela n'est même pas possible.
Le plus ironique, c'est que le type de personnes qu'un gouvernement aurait légitimement besoin de pouvoir surveiller comme des terroristes, sont justement ceux qui sont susceptibles de vouloir et pouvoir le faire, car ils ne cherchent pas à pouvoir communiquer de manière discrète avec tout le monde sans les connaitre tous par avance mais juste avec d'autres terroristes, qu'ils connaissent déjà par ailleurs...
On ne le répétera jamais assez.
Signal est la meilleure solution.
Comunication chiffrée.
Aucune métadonnée n’est conservée.
Open Source.
De mon point de vue, c’est mieux que Télégram.
Et n’oubliez pas que WhatsApp/ Facebook exploite vos métadonnées. C’est la raison même du rachat de WhatsApp par Facebook il y a quelques années.
@spockyss
terroristes et mafieux de tous pays, Signal est votre ami !
@raoolito
Dog. 🤦
@spockyss
True.
La soit disante confidentialité d’apple. Gneugneu impossible de recuperer vos données. Plus le temps passe plus on apprend qu’ils securisent rien en fait
@ Ljuba
> plus on apprend qu’ils securisent rien en fait
Faux. Le contenu des messages est chiffré de bout en bout et illisible même par le FBI. Vous le sauriez si vous aviez lu l'article en entier.
Ce que le FBI peut récupérer, ce sont les "méta-données", par exemple probablement date et heure d'envoi, destinataire, etc.
Je me demande lequel n'a pas lu l'article en entier... le FBI sur commission rogatoire, a accès au contenu des messages grâce à la sauvegarde iCloud qui les contient. Cette sauvegarde est chiffrée mais Apple dispose d'une clé d'accès et peut la fournir.
@ r e m y
> Je me demande lequel n'a pas lu l'article en entier
Raté : En effet, vous avez omis ceci :
Il faut que "la sauvegarde sur iCloud soit activée".
Sans rancune.
(Perso, je ne l'ai pas activée - j'utilise pCloud quand j'ai besoin d'espace supplémentaire).
De plus, le fait que si la sauvegarde est autorisée Apple fournisse la clef au FBI lors d'enquêtes, cela ne veut pas dire qu' « ils securisent rien en fait » comme l'écrit Ljuba.
Il n'a pas totalement tort (même si son message est un peu excessif) car si vous confiez vos données à Apple (sur iCloud), elles ne sont pas aussi à l'abri qu'Apple veut bien le dire.
Apple défend la vie privée, pas l'anonymat.
Telegram est à mettre à la poubelle : son chiffrement n'est pas open-source ce qui empêche les experts de fait un audit digne de ce nom. De plus son chiffrement a été développé en Russie, ce qui n'est pas forcement une bonne nouvelle.
Signal (utilisé quotidiennement par Snowden), reste à une longueur d'avance : chiffrement open-source et surtout conserve un minimum de méta-données. Modèle économique association à but non lucratif donc impossible qu'un géant de la tech ne rachète ce service.
Pour ceux qui reçoivent du spam, c'est une preuve que la messagerie est réellement cryptée : comme elle ne peut pas lire le contenu de vos messages reçus, Signal ne peut donc savoir que vous recevez du spam. FORT.
@kitetrip
Oui certes mais il y a 2 problèmes majeurs:
- Signal souffre toujours d’un manque de notoriété et son taux d’adoption reste limité par rapport à un Whatsapp qui est presque en monopole.
- Les gens sont passés de « oh mon Dieu Facebook sait tout de moi » à « ok ils ont accès à mes données ils en font ce qu’ils veulent mais comme je n’ai rien à me reprocher je m’en fiche ». Et ça c’est désormais le plus gros problème. Les gens s’en fichent, en totale connaissance de cause, tout simplement. Il n’y a qu’à lire certains commentaires ici même alors que le public de MacGé est plutôt technophile. Et pourtant.
@ winnipeg
Beaucoup de gens n'utilisent pas WhatsApp & co pour le chiffrement mais afin de ne pas utiliser leur forfait téléphonique. Je l'ai fait puis je suis passé à Telegram à une époque avec des correspondants en Espagne pour qui les SMS avec la France étaient chers. C'est comme les appels en VoIP, c'est pour payer moins cher ou ne pas payer les appels.
D'ailleurs certains ont un compte Telegram qui ne marche qu'en Wifi et ils ne passent donc jamais par le réseau téléphonique xG.
Il y a aussi des numéros de "téléphone" en 07 qui ne marchent que via des Apps en Wifi qu'utilisent certains pour téléphoner "avec le bled".
@kitetrip
> Telegram est à mettre à la poubelle : son chiffrement n'est pas open-source
euh si, hein. Le simple fait qu'il existe plusieurs implémentation de clients Telegram suffit à démontrer que, si si, le chiffrement est documenté de manière open source.
> ce qui empêche les experts de fait un audit digne de ce nom.
Non. Ce qui les empêche de le faire, c'est que le chiffrement utilisé repose sur un autre connu, mais le "tord" de manière non normalisée.
> De plus son chiffrement a été développé en Russie, ce qui n'est pas
> forcement une bonne nouvelle.
Je peux comprendre qu'on peut douter, mais je vois pas pourquoi on ne devrait pas douter de la même manière quand cela vient, par exemple des USA, alors que la NSA a réussi à laisser volontairement une backdoor dans certains chiffrements...
Mais ceci dit, oui, Signal est mieux, clairement. Pas en terme de fonctionnalité, mais en terme de protection, oui.
Mouais persos je me fiche un peu de savoir que le FBI peut potentiellement avoir accès aux données utilisateurs.
Si tu as un mandat sur le dos, je pense que tu es un minimum aguerri pour ne pas te faire avoir de la sorte…ou pas.
@faya
Qui peut croire que les terroristes utilisent des applications quelles qu’elles soient? C’est pour cela que ce débat est important. Tout le monde est placé sous surveillance c’est une certitude. Des preuves que des attentats sont déjoués grâce à cette surveillance? C’est à prouver. Les services de renseignements faisaient comment avant les apps de messagerie? Véritable lutte contre le terrorisme ou prétexte pour tout siphonner, on ne le saura vraiment jamais. La vérité est certainement plus nuancée.
@ winnipeg
> Tout le monde est placé sous surveillance c’est une certitude
Affirmer cela en France, c'est de la parano.
Avant toute surveillance il faut une action judiciaire et une enquête en cours.
Sa change quoi ? Le FBI en on rien à faire de vos photos de chats lol
théorie complotiste
Apple ne cesse de nous rappeler qu'elle nous protège, tout le monde devrait y croire. Y croire pourrait même peut-être rendre relle le discours véridique d'apple. Le reste n'est que tromperie de la part des haters windows et android.
« Tout ce qui se passe sur votre iPhone, reste sur votre iPhone » qu’ils disaient 😂😅
ils veulent dire que "nos secrets" (ou nos datas) sont pour eux inintéressants. et c'est par rapport à la concurrence, notamment de l'Android de Google, qui a basé tout son commerce sur nos données personnelles.
La pub où ya 50 personnes qui suivent l'iphone et qui disparaissent à la fin c'est pas apple aux dernières nouvelles. :)
De toute façon avec un mandat, le FBI peut surveiller en direct quelqu'un avec des micro longue portée ultra perfectionné et même corrompre le terminal utilisé par la personne visée.
On peut supposer que si quelqu'un est visé par le FBI c'est qu'ils ont de sérieux doute contre cette personne
même l'iPhone de Cook n'est pas protégé dans le cas d'une enquête judiciaire. FBI c'est une force majeure. ceux qui pensent que des apps ou des appareils réglementés peuvent les protéger dans ce cas, se trompent.
ils doivent jailbreaker ou inventer leur appareil et les apps. c'est la seule solution.
Il n’est pas question de Olvid. Trop marginal peut-être ? J’avais cru comprendre que c’était le mieux. Pas d’annuaire, chiffrement de bout en bout avec échange de clé par un autre canal que l’application elle-même (par mail chiffré par exemple ou mieux, par rencontre physique). Après niveau meta données, aucune idée
Les dealears aussi aiment bien et utilisent Telegram.
C’est bien beau de dire que Telegram fait mieux mais pour utiliser Telegram il faut convaincre son entourage de l’utiliser et ça c’est pas gagné.
Toute ma famille a un iPhone, mais ça n’est même pas la peine de leur dire « alors on va remplacer messages par Telegram ».
Et je n’ai aucune conversation qui serait assez sensible pour justifier cette utilisation.
J’ai essayé avec trois amis, nous étions en groupe sur messenger et je leur ai dis « passons sur Telegram ».
Ils l’ont fait, mais ça a changé leurs habitudes et au final là où on discutait beaucoup, sur Telegram c’est devenu de moins en moins souvent.
Je suis donc récemment repassé sous messenger avant que le groupe périclite.
Hélas il ne faut pas sous estimer les habitudes des gens.
Bien sûr: c’est le côté philantrope qui pousse Apple a gardé la clef!
Mon fournisseur de mails n’a aucun accès à mes données: lors de la création du compte, ils m’ont remis une clef que je dois conserver . C’est le seul moyen de réinitialiser le mot de passe.
Ok c’est brutal mais au moins le contrat est clair dès le départ
@0MiguelAnge0
“Bien sûr: c’est le côté philantrope qui pousse Apple a gardé la clef!
Mon fournisseur de mails n’a aucun accès à mes données: lors de la création du compte, ils m’ont remis une clef que je dois conserver . C’est le seul moyen de réinitialiser le mot de passe.
Ok c’est brutal mais au moins le contrat est clair dès le départ”
Et la retention des donnees pour un acces futur au niveau legal? Les firmes ont des obligations et contraintes par rapport aux autorites. Tout n’est pas detruit quand l’utilisateur final clique sur supprimer (helas).
Pages