Apple aurait choisi il y a deux ans d’annuler son plan consistant à chiffrer de bout en bout les sauvegardes iCloud. Cette information publiée par Reuters (qu'Apple n'a pas commentée pour l'heure) remet en lumière un élément controversé dans les mesures de confidentialité offertes aux possesseurs d'iPhone et d'iPad.
Des clients sont tombés de leur chaise hier en découvrant qu’Apple pouvait déchiffrer la majeure partie des données des sauvegardes iCloud, et les transmettre aux autorités. Et comment le leur reprocher, quand on pense que le respect de la vie privée est un point central du discours marketing de la firme depuis plusieurs années ?
Chiffrement ≠ chiffrement de bout en bout
Et pourtant, cela n’a rien de nouveau. Les sauvegardes iCloud n’ont jamais été chiffrées de bout en bout et Apple a toujours fourni leur contenu en clair quand les autorités compétentes le demandent légitimement. C’est exactement ce que nous écrivions dans cet article publié en 2016 : iPhone : ce qui n’est pas chiffré, ce qui l’est, et ce que cela signifie pour vos données. Toutes les informations de l’époque sont toujours valables aujourd’hui, sans exception : quatre ans après, rien n’a changé.
Pour bien comprendre la situation, il convient de rappeler la distinction entre chiffrement et chiffrement de bout en bout (end-to-end encryption en anglais). Le principe de base est le même : une donnée est chiffrée à l’aide d’une clé et sans cette dernière, la donnée ne peut pas être déchiffrée. Le chiffrement de bout en bout fonctionne avec une clé unique, possédée uniquement par l'utilisateur en question. Sans cette clé, qui peut prendre la forme d'un mot de passe ou de l’identifiant unique d’un smartphone, absolument personne ne peut déchiffrer l’information.
De plus en plus de messageries instantanées se mettent au chiffrement de bout en bout, mais c'est en fait le type de chiffrement le moins courant dans les services destinés au grand public. Pour plusieurs raisons, les plateformes qui stockent votre contenu chiffré disposent elles aussi d’une clé capable de déchiffrer les données. Ce n’est pas nécessairement pour de mauvaises raisons, comme le rappelle d'ailleurs Reuters dans son article.
Si les sauvegardes iCloud sont chiffrées « simplement » et non bout en bout, c’est notamment pour offrir une option aux clients qui perdent leur mot de passe. Si le constructeur ne disposait pas d’une clé de déchiffrement sur ses serveurs, ces données seraient irrémédiablement perdues. Tous les jours des clients se rendent en Apple Store ou appellent le service technique parce qu’ils ont perdu leur mot de passe iCloud et n’arrivent pas à restaurer leur sauvegarde.
Le chiffrement de bout en bout impose des contraintes réelles non négligeables. Mais son absence ne permet pas seulement d’aider les utilisateurs distraits, elle permet aussi à Apple de fournir aux autorités compétentes qui le demandent le contenu stocké sur ses serveurs. De fait, c’est une pratique assez courante : le constructeur répond le plus souvent favorablement1 aux demandes légales de transfert de données, comme en témoigne son rapport sur la transparence mis à jour régulièrement.
Certaines informations contenues dans les sauvegardes iCloud sont malgré tout chiffrées de bout en bout par Apple. C’est notamment le cas du trousseau iCloud qui contient vos identifiants et mots de passe, les codes d’accès aux réseaux Wi-Fi, vos informations de paiement, ou encore les données liées à HomeKit. C’est aussi le cas des données de Santé, des conversations vidéo et audio dans FaceTime et même des iMessage, SMS et MMS envoyés et reçus dans Message, à condition d’avoir activé leur synchronisation iCloud2.
Apple chiffre de bout en bout certaines données qui transitent et qui sont stockées sur iCloud, alors pourquoi pas toutes ? Dans certains cas, un chiffrement simple est préférable pour plus de confort. Par exemple, le site iCloud.com ne pourrait afficher aucune information si tout était chiffré de bout en bout, ou en tout cas pas aussi simplement qu’avec le mot de passe d’un compte iCloud. C’est pour cette raison que vous n’avez pas accès à iMessage depuis un navigateur, comme c’est le cas pour d’autres messageries instantanées qui ne proposent pas de chiffrement de bout en bout. En revanche, vous pouvez accéder à votre photothèque iCloud, qui n’est pas chiffrée de bout en bout.
Cela étant, rien ne s’oppose à un chiffrement de bout en bout de la sauvegarde iCloud et on s’attendait à ce qu’Apple le propose, au moins en option. Non seulement cela s'inscrirait logiquement dans l'effort de confidentialité promu par Apple, mais en plus des fuites ont fait état d'un tel projet. En 2016, le Financial Times et le Wall Street Journal affirmaient tous deux qu'Apple travaillait sur un renforcement des sauvegardes iCloud, l'empêchant de pouvoir déchiffrer leurs contenus.
Que ce ne soit pas le mode par défaut pourrait se comprendre, la majorité des utilisateurs préfèrerait certainement avoir une roue de secours en cas de perte de leur mot de passe. Mais le constructeur pourrait très bien ajouter une option supplémentaire avec un avertissement pour prévenir des conséquences en cas de perte des identifiants iCloud.
À défaut, il est possible de créer une sauvegarde chiffrée de bout en bout d’un appareil iOS en passant par un ordinateur — ce qui est nettement plus contraignant et la porte ouverte à des terminaux sauvegardés de façon non régulière. La sauvegarde iCloud est automatique et transparente : si vous chargez votre iPhone chaque nuit, elle se fera au moins à cette occasion, sans que vous ne vous en aperceviez. Qu’une alternative existe est déjà une bonne chose, mais ce n’est pas une réponse suffisante, surtout de la part d’une entreprise qui met autant en avant son respect de la sécurité et de la vie privée de ses utilisateurs.
« Votre iPhone connaît beaucoup de choses sur vous. Mais pas nous. », vantait l’une des publicités affichées par Apple pendant sa campagne sur le sujet. C’est un bon slogan, mais qui nécessiterait une note de bas de page pour préciser que cela concerne uniquement l’iPhone, pas sa sauvegarde sur iCloud. « Tout ce qui se passe sur votre iPhone reste sur votre iPhone. » disait une autre, ce qui est techniquement vrai, mais cela omet un petit peu facilement que la sauvegarde iCloud permet d’extraire une bonne partie de ce qui s’y passe.
Ce sont des publicités, leur message est évidemment simplifié et on n’attend pas d’Apple qu’elle détaille sur une affiche les avantages et les inconvénients d’un chiffrement de bout en bout. Mais l’entreprise ne peut pas d’un côté vanter à longueur de temps son intérêt pour la sécurité des données et le respect de la vie privée — au point d'en faire un argument contre ses concurrents —, et de l'autre ne rien faire pour améliorer cette sécurité et ce respect. Surtout quand les concurrents en question font mieux : la sauvegarde d’Android proposée par Google est chiffrée de bout en bout depuis l’automne 20183.
« Nous n’aurons par conséquent plus de clé pour ça dans le futur »
Si Apple veut vraiment être le champion de la sécurité de nos données, l’entreprise se doit d’offrir au moins une option pour chiffrer de bout en bout le maximum de données stockées sur ses serveurs. Peut-être que c’est toujours son intention, néanmoins. Comme l’a noté le blogueur John Gruber, dans une interview accordée en octobre 2018 au journal Der Spiegel, Tim Cook évoquait toujours un projet de chiffrement de bout en bout pour les données iCloud :
Nos utilisateurs ont une clé [sur nos serveurs] et nous en avons une. Nous le faisons parce que certains utilisateurs perdent ou oublient leur clé et attendent ensuite une aide de notre part pour récupérer leurs données. Il est difficile d’estimer quand nous changerons cette pratique. Mais je pense que dans le futur, ce sera géré comme sur les appareils. Nous n’aurons par conséquent plus de clé pour ça dans le futur.
Cette déclaration semble contredire l'article de Reuters qui parle d’un abandon du projet il y a deux ans environ. Deux hypothèses dès lors : soit l’abandon est beaucoup plus récent que cela, soit il n'a pas eu lieu et cette fonction arrivera un jour ou l’autre. On peut aussi imaginer qu’un projet de chiffrement de bout en bout a été annulé, mais pas le plan entier.
Quelles que soient les raisons, on peut au moins affirmer qu’Apple a stagné sur cette problématique depuis plusieurs années, comme le rappelle le fait que notre article de 2016 soit encore d’actualité aujourd’hui. Or, entre-temps, Apple s'est présentée plus que jamais comme le champion de la confidentialité.
Au bout du compte, les données les plus sensibles sont chiffrées de bout en bout, les autorités peuvent tout de même récupérer des informations importantes et les Apple Store du monde entier sauvent des clients distraits.
Ce compromis semble convenir à Apple. L’entreprise manque aussi peut-être de motivation pour faire avancer les choses, d’autant qu’elle est déjà sous le feu des critiques au plus haut de l’État. Chiffrer de bout en bout les sauvegardes iCloud envenimerait à coup sûr ses relations avec les gouvernements du monde entier, mais si Apple veut garder la confiance de ses clients, n’est-ce pas un passage obligé ?
-
Mais pas toujours : chaque demande est analysée par Apple, qui n’hésite pas à rejeter celles qui ne sont pas légitimes. Sur les six premiers mois de l’année 2019, Apple a fourni des informations dans 74 % des cas en France, par exemple. ↩
-
Si vous activez la synchronisation iCloud, les messages sont supprimés de la sauvegarde iCloud et chiffrés de bout en bout. Si vous la désactivez, il sont chiffrés simplement dans le cadre de la sauvegarde et Apple peut y accéder. Si vous désactivez les deux, vos messages resteront isolés sur l’appareil Apple, où ils seront chiffrés par iOS. ↩
-
Cette sauvegarde est bien moins complète que celle d’Apple et elle ne concerne qu’une minorité de smartphones Android. Les utilisateurs qui peuvent en bénéficier profitent toutefois d’un chiffrement a priori aussi complet que celui du trousseau iCloud, avec une puce de sécurité côté serveurs qui s’assure que les données restent inaccessibles, même si Google essayait de le faire. ↩
