Dans sa dernière tentative d’éroder les protections d’un cryptage fort, le gouvernement britannique aurait secrètement ordonné qu’Apple à construire une porte dérobée qui permettait aux responsables de la sécurité britannique d’accéder aux données de stockage cloud cryptées des clients d’Apple.
L’ordonnance secrète en vertu de la loi de 2016 sur les pouvoirs d’enquête du Royaume-Uni (connue sous le nom de Charter des Snoopers) – a pour saper une caractéristique de pomme opt-in qui Provids de cryptage de bout en bout (E2EE) pour les sauvegardes iCloud, appelée protection avancée des données. La fonction de sauvegarde chiffrée permet uniquement aux clients d’Apple d’accéder aux informations de leur appareil stockées sur iCloud – même Apple ne peut pas y accéder.
Alors que le gouvernement britannique a refusé de commenter à TechCrunch sur le rapport, les responsables britanniques ont longtemps fait valoir que E2EE rend plus difficile de recueillir des preuves numériques pour les poursuites pénales et de recueillir des renseignements pour la sécurité nationale.
La fonction de sauvegarde cryptée d’Apple, une fois activée, Lophole ferme que les forces de l’ordre ont utilisées pour accéder aux données stockées dans le cloud. Ces données étaient par ailleurs impossibles pour un décramble sur la plupart des iPhones modernes qui ont le chiffrement des appareils activé.
Le Washington Post, qui a signalé pour la première fois l’histoire, a déclaré qu’Apple cesserait probablement d’offrir la fonction de cryptage iCloud aux utilisateurs du Royaume-Uni dans l’ordre secret, plutôt que de briser le cryptage des utilisateurs dans le monde.
Apple a précédemment averti que ses services de communication cryptés, FaceTime et IMessage, pourraient être menacés au Royaume-Uni, répondant aux plans pour inclure les pouvoirs du gouvernement.
Ramifications mondiales
Si Apple a dépouillé ses clients britanniques de son chiffrement avancé iCloud, les retombées ne s’arrêteraient pas aux frontières du pays.
Rebecca Vincent, qui dirige le groupe de campagne de la vie privée et des libertés civiles, Big Brother Watch, a averti que l’ordre «draconien» du gouvernement britannique ne rendrait pas les citoyens plus sûrs, mais installerait «éroder les droits fondamentaux et les libertés civiles de toute la population».
Bien qu’il ne soit pas encore clair comment l’ordre britannique fonctionne dans la pratique – la suppression de la protection avancée des données ne ferait que rendre les données cloud des citoyens britanniques à la disposition des forces de l’ordre – la nouvelle de l’ordre a suscité des préoccupations que la sécurité pour des millions de propriétaires d’appareils Apple dans le monde entier Pourrait être affaibli.
Les défenseurs de la sécurité et de la vie privée affirment également que le Royaume-Uni pourrait établir une prédance mondiale dangereuse que les régimes autoritaires et les cybercriminels seront impatients d’exploiter – toute porte dérobée développée pour l’utilisation du gouvernement serait inévitablement exploitée par des pirates et d’autres gouvernements.
Thorin Klosowski, activiste de la vie privée de la Fondation Electronic Frontier Frontier basée aux États-Unis, a également averti dans un article de blog que les demandes du Royaume-Uni auront des ramifications mondiales qui feraient de l’ordre secret une «urgence pour nous» James Baker au Groupe des droits ouverts la semaine dernière Ces plans sont «effrayants… et rendrait tout le monde moins sûr».
Une leçon de sécurité non apprise
L’effet d’entraînement que l’ordre du gouvernement britannique pourrait avoir sur les citoyens du monde entier a suscité des critiques dans les craintes de pouvoir mettre le Royaume-Uni en contradiction avec certains de ses alliés les plus proches.
La nouvelle intervient quelques semaines seulement après que les autorités de sécurité américaines ont exhorté les Américains à utiliser des applications de messagerie cryptées pour éviter que leurs communications interceptent les nations adversaires. L’avis a fait suite aux rapports d’une campagne de piratage furtive de plusieurs années par des espions du gouvernement chinois visant à pirater les infrastructures américaines critiques, ainsi que sur les géants du téléphone et de l’Internet.
L’Association de l’industrie informatique et des communications, un groupe américain de l’industrie technologique qui représente les industries informatiques et télécommunications, a déclaré que les hacks réalisés par le groupe soi-disant «typhon» de pirates à dos chinois indiquent clairement que «End-T-End Encryptions Peut être la seule sauvegarde entre les données personnelles et commerciales sensibles des Américains et les adversaires étrangers. «
« Les décisions concernant la vie privée et la sécurité des Américains devraient être prises en Amérique, de manière ouverte et transparente, et non par des ordres secrètes de l’étranger, ce qui nécessite des clés sous des dormats », a déclaré la CCIA.
Chris Mohr, président de l’Association des logiciels et de l’information basée aux États-Unis, a également émis un avertissement similaire, appelant l’ordre britannique «à la fois mal avisé et dangereux».
« En particulier dans le sillage du typhon de Salt, nous avons besoin que la police rend les informations plus (pas moins) sécurisées », a déclaré Mohr, se référant au groupe soutenu par la Chine qui ciblait les compagnies de téléphone. « Nous appelons l’administration Trump et le Congrès américain à s’opposer à ce développement de troubles. »
Les hacks chinois qui ciblaient les géants du téléphone et de l’Internet – y compris AT&T et Verizon – est l’exemple le plus récent de la raison pour laquelle les demandes de porte dérobée du gouvernement britannique sur Apple sont défectueuses.
Salt Typhoon a effectué les infractions aux télécommunications, censées être l’un des plus grands hacks de l’histoire récente, en abusant d’une porte dérobée légalement mandatée requise par les cabinets de télécommunications pour donner à l’application de la loi et aux agences de renseignement d’accéder aux données de leurs clients sur demande.
« La leçon sera répétée unil, elle est apprise: il n’y a pas de porte dérobée qui ne laisse que les bons et empêche les méchants », selon la Fondation Electronic Frontier. «Il est temps pour nous tous de reconnaître cela et de prendre des mesures pour assurer la sécurité et la vie privée réelles pour nous tous.»
