Apple étend le chiffrement de bout en bout aux sauvegardes iCloud, entre applaudissements et grincements
-
Ça fait des Chocapic
Apple a annoncé hier un changement majeur : les sauvegardes iCloud vont pouvoir être chiffrées de bout en bout. La décision, attendue depuis des années, est saluée par les ONG et provoque la déception du FBI. Elle pourrait également faire tache d’huile dans l’industrie.
Chez Apple, plusieurs services bénéficient du chiffrement de bout en bout. C’est le cas d’iMessage depuis longtemps, Apple ne pouvant lire les échanges entre ses utilisateurs. Mais ce n’est plus vrai dès lors que la sauvegarde iCloud est activée, ce qu’elle est par défaut via le compte Apple, le même assurant la synchronisation des données entre les appareils.
Le problème a toujours été le même et revient régulièrement sur le tapis. Ce fut le cas par exemple lors du massacre de San Bernardino (voir notre récapitulatif), quand l’iPhone 5C du terroriste fut retrouvé. Les espoirs étaient alors que la sauvegarde iCloud avait été laissée active, ce qui aurait permis – via un mandat délivré par un juge – de réclamer la copie des données. Le FBI avait vite déchanté. On se souvient du bras de fer qui avait alors eu lieu entre le Bureau et Apple et qui avait failli se régler devant les tribunaux. Jusqu’à ce que le FBI annonce ne plus avoir besoin de l’entreprise : il avait acheté une faille de sécurité lui permettant d’entrer dans l’iPhone.
Dans un contexte de volonté politique de freiner le chiffrement de bout en bout pour faciliter le travail des forces de l’ordre – en peine avec la généralisation progressive de cette méthode – l’annonce d’Apple est un grand chambardement. D’autant qu’elle n’est pas la seule, puisque l’entreprise a présenté deux autres mesures.
Chiffrement : ce qui change
Actuellement, iCloud chiffre de bout en bout 14 catégories de données, dont les mots de passe du Trousseau et les données de Santé. Ces informations ne peuvent donc pas être lues, y compris par les forces de l’ordre équipées d’un mandat. Avec le changement, ce nombre passe à 23, incluant les photos, les notes et les fameuses sauvegardes.
Apple précise dans son communiqué que les seules catégories majeures de données non comprises dans le chiffrement de bout en bout sont les données de Mail, Contacts et Calendrier « à cause du besoin d’interopérabilité » avec les autres systèmes véhiculant ce type de données.
« La sécurité renforcée des données utilisateurs est plus urgente que jamais, comme démontré dans le rapport "The Rising Threat to Consumer Data in the Cloud" publié aujourd’hui. Les experts indiquent que le nombre total de fuites de données a plus que triplé entre 2013 et 2021, exposant 1,1 milliard d’enregistrements personnels à travers la planète en 2021 seulement. De manière croissante, les entreprises du secteur technologique réagissent à cette menace grandissante par l’implémentation du chiffrement de bout en bout dans leurs offres », a ainsi déclaré Apple. En clair, une brèche pourrait se produire chez Apple, qui préfère donc prendre les devants.
Un exercice de communication intéressant, sur une base d’actions concrètes qui interviennent dans le sillage de plusieurs taches, entre l’épine Pegasus et d’autres évènements, comme la recherche par le gouvernement français d’un nouveau téléphone sécurisé. L’annonce intervient également après l’arrivée, sur iOS 16, d’un mode Isolement conçu pour renforcer la sécurité.
Un chiffrement optionnel
À compter d’iOS 16.2 (en release candidate), les utilisateurs pourront se rendre dans Réglages > iCloud pour découvrir une nouvelle ligne. Baptisée « Protection avancée des données », elle permettra d’activer le chiffrement de bout en bout pour les catégories supplémentaires. Car oui, il s’agira d’une option, exactement comme dans WhatsApp à l’heure actuelle.
Apple va devoir se livrer à un autre exercice de communication, puisque l’activation de cette fonction ne sera pas anodine : en cas de perte du mot de passe, les données seront irrémédiablement perdues, comme dans tout service s’appuyant sur le chiffrement de bout en bout.
Actuellement, on peut en effet définir un contact habilité à fournir un code de secours en cas de problème ou récupérer une clé de secours à 28 caractères fournie par Apple. Mais aucune de ces solutions ne pourra plus fonctionner une fois l’option activée. C’est donc une arme à double-tranchant et l’entreprise devra expliquer clairement les avantages et inconvénients de ce chiffrement de bout en bout quasi généralisé.
Cette fonction ne sera pas disponible tout de suite. D’ici la fin de l’année, elle sera active aux États-Unis. Le reste du monde devra attendre le début d’année prochaine, sans plus de précision pour l’instant.
[…]
Source et suite : nextinpact.com